Identifizierung von Urheberrechtsverletzern - IT

AUFSÄTZE
Stefan Lutz
Identifizierung von Urheberrechtsverletzern
Zulässigkeit der Ermittlung von IP-Adressen
durch Anti-Piracy Firmen
Seit 2005 werden in Deutschland Filesharer von Computerspielherstellern, Musiklabels, Filmverleihern und Pornoproduzenten mit einer anwaltlichen Abmahnung kostenpflichtig in Anspruch genommen, sofern die Rechteinhaber feststellen oder feststellen lassen, dass durch die
Teilnahme der Nutzer an Tauschbörsen und dem Tausch von urheberrechtlich geschützten Dateien, in ihre Verwertungsrechte – hier dem Recht auf öffentliche Zugänglichmachung gemäß § 19a UrhG - eingegriffen wird. Aufgrund der Situation in Deutschland, wonach der abmahnende Urheber nicht nur Schadensersatz für die entgangene Lizenz, sondern auch die
volle Kompensation der ihm angeblich entstandenen Rechtsverfolgungskosten vom Abgemahnten erstattet verlangen kann, sprießen Jahr für Jahr mehr Kanzleien hervor, die dieses Geschäftsmodell der urheberrechtlichen Massenabmahnung für sich entdeckt haben. Auch erklären sich Jahr für Jahr mehr Rechteinhaber dazu bereit, die Verbreitung ihrer Werke oder Rechte in P2P-Programmen zu verfolgen.1 Der vorliegende Beitrag zeigt den derzeitigen Meinungsstand zur Zulässigkeit derartiger Datenverarbeitung in Rechtsprechung und Literatur auf.
1 Ausmaß der Sammlung von IP-Adressen
1
Um das Ausmaß der für die Abmahnungen von behaupteten
Urheberrechtsverletzungen notwendigen Datenflut zu verdeutlichen, kann exemplarisch auf den Bericht Datenschutz und Datensicherheit 2010 der Deutschen Telekom2 Bezug genommen
werden. Der größte deutsche Internetprovider teilt darin mit,
dass im Jahr 2010 die Deutsche Telekom pro Monat einstweilige
Anordnungen zur vorläufigen Speicherung von im Durchschnitt
200.000 IP-Adressen erhielt.3
Allein bei der Deutschen Telekom wurden im Jahr 2010 damit
über 2.4 Millionen IP-Adressen beauskunftet. Der Branchenver1 Zum ständig wachsenden Umfang vgl. auch OLG Köln, Beschluss vom
20.5.2011 – 6 W 30/11, GRUR-RR 2011, 336.
2 Bericht Datenschutz und Datensicherheit 2010, abzurufen unter http://
www.e-paper.telekom.com/datenschutzbericht-2010/ , zuletzt abgerufen am
7.10.2011.
3 Bericht Datenschutz und Datensicherheit 2010, S. 11.
RA Stefan Lutz
Fachanwalt für
Informationstechnologierecht
E-Mail: [email protected]
DuD • Datenschutz und Datensicherheit
1 | 2012
band eco geht von 300.000 IP-Adressen pro Monat für alle Provider aus,4 so dass die Anzahl der IP-Adressen bei 3.6 Millionen
pro Jahr liegen dürfte.
1.1 Ermittlungsmethoden der Logfirmen
Um die Abmahnungen an die Anschlussinhaber versenden zu
können, muss der Anschlussinhaber zunächst seitens der Rechteinhaber ermittelt werden. Hierzu bedient sich der Rechteinhaber spezieller Ermittlungsfirmen, welche teils mit eigener Software, teils mit modifizierten P2P-Clients die Tauschbörsen nach
den Werken ihrer Auftraggeber durchforsten und - im Falle eines Fundes - die IP-Adresse und den Zeitstempel der Urheberrechtsverletzung sowie den Hashwert der aufgefundenen Datei
notieren.5
Zunächst wird dabei seitens der Ermittlungsfirmen der Hashwert einer urheberrechtlich geschützten Datei ermittelt und dieser zur automatisierten Ermittlung potenzieller Verletzer der Ermittlungssoftware übergeben. Diese sucht sodann automatisch
und rund um die Uhr P2P-Netzwerke nach genau diesem Hashwert ab, um im Trefferfall das betroffene Werk, den Hashwert,
die IP-Adresse und den Zeitstempel6 ebenfalls ohne menschliches
Zutun in einer Datenbank zu speichern. Nach ungefähr fünf Ta4 Pressemitteilung eco Verband der deutschen Internetwirtschaft e.V. vom
31.5.2011, abzurufen unter http://www.eco.de/verband/202_9137.htm, zuletzt
abgerufen am 7.10.2011.
5 Maaßen, MMR 2009, 511 (512); Nietsch, K&R 2011, 101 (102).
6 Nietsch, K&R 2011, 101 (102).
1
AUFSÄTZE
gen der pausenlosen Überwachung, wird ein Ausdruck dieser Datenbank oder Excellisten an die Rechtsanwälte der Rechteinhaber zur Stellung eines Antrags bei Gericht nach § 101 Abs. 9 UrhG übermittelt.
1.2 Wirtschaftliches Interesse
Bei dieser Ermittlung von IP-Adressen gehen die Firmen jedoch
keineswegs altruistisch vor, sondern haben ein höchst eigenes
wirtschaftliches Interesse an der möglichst hohen Anzahl von
ermittelten IP-Adressen. Wie hoch die Vergütung für die Ermittlung einer einzigen IP-Adresse ist, ist eines der derzeit bestgehüteten Geheimnisse. So geht aus einem Urteil des AG Düsseldorf 7
hervor, dass die dortige Klägerin Ermittlungskosten in Höhe von
50,- € geltend gemacht hat, welche ihr entstanden sein sollen. Andere Rechteinhaber behaupten Zahlen von 75,- € pro ermittelter IP-Adresse.8 Dies würde bei 3.6 Millionen IP-Adressen einen
Umsatz allein im Jahr 2010 von 180 – 270 Millionen € bedeuten.
Es sind jedoch auch Fälle bekannt geworden, in denen die
Dienstleister nicht pro IP-Adresse bezahlt, sondern prozentual an
den von den Abgemahnten gezahlten Geldern beteiligt werden.9
2 Aktuelle Gerichtsentscheidungen
Hinsichtlich der datenschutzrechtlichen Zulässigkeit der Arbeit
der Dienstleister gibt es derzeit nur vereinzelte Rechtsprechung.
Lediglich ein Urteil des schweizerischen Bundesgerichts, sowie
zwei obergerichtliche Entscheidungen aus Deutschland sind bislang bekannt.
So hat das schweizerische Bundesgericht in Lausanne es der Ermittlungsfirma Logistep untersagt,10 die durch diese auf schweizerischen Boden erhobenen IP-Adressen an deren Auftraggeber
zu übermitteln. Weiterhin wurde der Firma Logistep aufgegeben,
sämtliche erhobenen Daten zu löschen.
Das Bundesgericht ging in dieser Entscheidung davon aus, dass
IP-Adressen grundsätzlich als Personendaten i.S.d. Art. 3 lit. a des
schweizerischen Datenschutzgesetzes (schweizDSG) zu qualifizieren sind.11 Dies treffe sowohl auf statische, als auch unter bestimmten Umständen auf dynamische IP-Adressen zu.12 Da Personendaten geschützt seien, darf nach Art. 12 Abs. 1 schweizDSG
die Persönlichkeit der betroffenen Personen durch die Datenverarbeitung nicht widerrechtlich verletzt werden.13 Personendaten
dürften insbesondere ohne Rechtfertigungsgrund weder ermittelt noch Dritten bekannt gegeben werden.14 Der Einsatz einer sogenannten „p2p-Monitorsoftware“ (Trackingsoftware) zur Erfassung von Daten für die Identifizierung der Nutzer von Filesharingsystemen und deren Weiterleitung an die Rechteinhaber ver7 AG Düsseldorf, Urteil vom 14.4.2010 – 57 C 15741/09 – abzurufen unter http://www.initiative-abmahnwahn.de/wp-content/uploads/2010/04/urteil_2010-04-14.pdf, zuletzt abgerufen am 7.10.2011.
8 Ossyra, „Millionengeschäft Abmahnung“ in Leipziger Volkszeitung vom
1.7.2011, S. 3.
9 Nach einem unbestätigten geleakten Vertrag einer Abmahnkanzlei mit
dem Rechteinhaber, abzurufen unter http://pdfcast.org/pdf/schutt-waetke-baseprotect-service-contract, zuletzt abgerufen am 7.10.2011.
10 Vgl. Schweiz. BG, Urteil vom 8.9.2010 - 1C_285/2009, MMR 2011, 201 ff.
11 Schweiz. BG, a.a.O., MMR 2011, 201 (202).
12 Schweiz. BG, a.a.O., MMR 2011, 201 (202).
13 Schweiz. BG, a.a.O., MMR 2011, 201 (203).
14 Schweiz. BG, a.a.O., MMR 2011, 201 (203).
2
stoße gegen Art. 12 und 13 schweizDSG.15 Dabei habe das Bundesgericht die Interessen des Entwicklers der Monitorsoftware gegenüber denen der betroffenen Personen abgewogen und kam zu dem
Entschluss, dass die Interessen der Ermittlungsfirma keine allgemeinen oder privaten, sondern eigene, wirtschaftliche zur Verfolgung eines Geschäftsmodells sind, welche nicht schwerer wiegen
als die datenschutzrechtlichen Interessen der betroffenen Personen.16 Daher sei im Ergebnis die Ermittlung von Urheberrechtsverletzern durch private Drittfirmen in der Schweiz unzulässig.
Diese Rechtsauffassung wurde jedoch vom OLG Hamburg17
nicht geteilt. Das OLG Hamburg ist der Auffassung, dass das
heimliche Ermitteln von IP-Adressen möglicher Urheberrechtsverletzer nach deutschem Datenschutzrecht unbedenklich sei.18
Dies gelte auch dann, wenn das ermittelnde Unternehmen seinen Sitz in der Schweiz habe und dessen Dienstleistung durch das
schweizerische Bundesgericht als unzulässig angesehen wurde.19
Zur Begründung führte das OLG Hamburg in dieser Entscheidung an, dass es sich bei IP-Adressen nicht um personenbezogene Daten handele, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden könne.20 Zur Herstellung des Personenbezugs bedürfe es weiterer Daten, die erst auf Anforderung
der Staatsanwaltschaft gemäß §§ 161 Abs. 1 S. 1, 163 StPO oder
durch eine gerichtliche Herausgabeanordnung gegen den Provider nach § 101 Abs. 9 UrhG zugänglich werden.21
Folglich verstoße die Ermittlung von IP-Adressen durch Dritte
nicht gegen deutsches Datenschutzrecht und sei mithin zulässig.
In dieselbe Richtung tendiert auch das OLG München.22 Auch
dieses OLG ist der Ansicht, dass es sich bei IP-Adressen nicht um
personenbezogene Daten handele.23 Die Ermittlung der IP-Adresse an sich stelle noch keinen Eingriff in die Rechte derer Inhaber
dar, da die IP-Adresse noch keinen Aufschluss über die Identität
des jeweiligen Nutzers gebe.24 Dieser Personenbezug würde erst
durch das Zusammenführen der IP-Adresse mit weiteren Angaben hergestellt werden.25
Da es sich bei der IP-Adresse nach Ansicht des OLG München
um kein personenbezogenes Datum handelt, ist die Prüfung des
OLG hier zu Ende und ein Datenschutzrechtsverstoß wurde verneint.
Die beiden Entscheidungen des OLG Hamburg26 und des OLG
München27 lassen jedoch die Frage aufkommen, ob deren rechtliche Beurteilung bei genauerer Betrachtung auch belastbar ist.
Mittlerweile hat die Logistep AG nach dem Urteil des schweize15 Schweiz. BG, a.a.O., MMR 2011, 201 (203).
16 Schweiz. BG, a.a.O., MMR 2011, 201 (203).
17 OLG Hamburg, Beschluss vom 3.11.2010 – 5 W 126/10, MMR 2011, 281.
18 OLG Hamburg, a.a.O., MMR 2011, 281 (282).
19 OLG Hamburg, a.a.O., MMR 2011, 281 (282); das OLG Hamburg hierzu wörtlich „Auch für den hier angerufenen Senat bestehen keine Anhaltspunkte dafür,
dass ein Beweisverwertungsverbot vorliegen könnte, nur weil zwischenzeitlich
ein Schweizerisches Bundesgericht […] die Tätigkeit des Dienstleisters L nach dortigem
Recht als datenschutzrechtswidrig beurteilt hat.“ Unter Bezug auf BGH, Urteil
vom 12.5.2010 – I ZR 121/08 –, MMR 2010, 565.
20 OLG Hamburg, a.a.O., MMR 2011, 281 (282).
21 OLG Hamburg, a.a.O., MMR 2011, 281 (282).
22 OLG München, Beschluss vom 4.7.2011 – 6 W 496/11, BeckRS 2011, 19897.
23 OLG München, a.a.O., BeckRS 2011, 19897.
24 OLG München, a.a.O., BeckRS 2011, 19897.
25 OLG München, a.a.O., BeckRS 2011, 19897 unter Bezug auf BGH, Urteil vom
13.1.2011 - III ZR 146/10, ZUM-RD 2011, 151 Tz. 28.
26 OLG Hamburg, a.a.O., MMR 2011, 281.
27 OLG München, a.a.O., BeckRS 2011, 19897.
DuD • Datenschutz und Datensicherheit
1 | 2012
AUFSÄTZE
rischen Bundesgerichts28 ihren Firmensitz nach Deutschland verlegt und ermittelt nunmehr neben einer Vielzahl von anderen Ermittlungsfirmen29 von deutschem Boden aus gegen Filesharingnutzer in Deutschland.
fizierten urheberrechtlich geschützten Datei erhoben wird, stellt
dies eine Aussage über einen Telekommunikationsvorgang dar.
3 Anwendbarkeit des BDSG
Fraglich könnte allenfalls sein, ob diese Angaben einer bestimmten oder bestimmbaren Person im Sinne des BDSG zugeordnet
werden können. In der Literatur und Rechtsprechung ist aufgrund der bloßen Zahlenfolge einer IP-Adresse33 ein Streit darüber entbrannt, ob dies angenommen werden kann. Hierbei haben sich zwei Meinungen herausgebildet.
Nach § 1 Abs. 2 S. 1 Nr. 3 BDSG ist das Bundesdatenschutzgesetz
dann anzuwenden, wenn eine nicht-öffentliche Stelle personenbezogene Daten erhebt, verarbeitet oder nutzt, sofern dies unter Einsatz von Datenverarbeitungsanlagen geschieht. Ausnahmetatbestände des § 1 Abs. 3, Abs. 4 und Abs. 5 BDSG sind nicht ersichtlich, so dass grundsätzlich das BDSG eröffnet ist, sofern es sich
bei den IP-Adressen um personenbezogene Daten i.S.d. § 3 Abs. 1
BDSG handelt und diese unter Einsatz von Datenverarbeitungsanlagen seitens der Ermittlungsfirmen als nicht-öffentliche Stelle erhoben, verarbeitet oder genutzt werden. Die Ermittlungsfirmen sind zweifelsfrei als natürliche oder juristische Personen des
Privatrechts als nicht-öffentliche Stelle i.S.d. BDSG zu behandeln.
Auch die Definitionen des Erhebens, des Verarbeitens und
Nutzens ergeben sich unmittelbar aus § 3 Abs. 3, Abs. 4 und Abs.
5 BDSG und liegen bei der Ermittlung, Speicherung und Übermittlung der IP-Adressen von Dienstleistungsunternehmen ohne weiteres vor.
Da die IP-Adressen mittels Software automatisch erfasst und
gespeichert und sodann zur weiteren automatisierten Verarbeitung übermittelt werden, liegt das Tatbestandsmerkmal des Einsatzes von Datenverarbeitungsanlagen vor.
4 Personenbezogenes Datum
Weiterhin müsste es sich bei den erhobenen Daten, insbesondere
bei der IP-Adresse, um ein personenbezogenes Datum handeln.
Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Einzelangaben im Sinne des BDSG ist jede Information, die
sich auf eine bestimmte – einzelne – natürliche Person bezieht
oder die geeignet ist, einen Bezug zu einer Person herzustellen.30
Die IP-Adresse ist eine Einzelangabe in diesem Sinne.
Weiterhin muss es sich um Angaben über persönliche oder
sachliche Verhältnisse einer Person handeln. Diese Formulierung
macht deutlich, dass hiervon alle Informationen erfasst werden,
die über die Bezugsperson etwas aussagen.31 Es muss sich um Daten handeln, welche Informationen über einen bestimmten Sachverhalt einer bestimmten oder bestimmbaren natürlichen Person enthalten. Die IP-Adresse allein ohne jeden weiteren Kontext
hat diese Information über den Sachverhalt allein jedoch noch
nicht.32 Da jedoch seitens der Ermittlungsfirmen die IP-Adresse zusammen mit dem Zeitstempel und der Angabe der identi28 Schweiz. BG, a.a.O., MMR 2011, 201.
29 Z.B. promedia GmbH, ipoque GmbH, Evidenzia GmbH & Co KG, Excubitor
UG, Baseprotect UG, Guardaley Ltd., Media Protector GmbH u.a.
30 Dammann, in: Simits (Hrsg.), BDSG, § 3 Rn. 5; Gola/Schomerus, BDSG, § 3
Rn. 3; Karg, MMR-Aktuell 2011, 385811.
31 Dammann, in: Simits (Hrsg.): BDSG, § 3 Rn. 7; Gola/Schomerus, BDSG, § 3
Rn. 5
32 Dammann, in: Simits (Hrsg.): BDSG, § 3 Rn. 10; Gola/Schomerus, BDSG, § 3
Rn. 3
DuD • Datenschutz und Datensicherheit
1 | 2012
4.1 Einer bestimmten oder bestimmbaren
natürlichen Person
4.1.1 Relativer Personenbezug
Nach einer Auffassung soll die Personenbeziehbarkeit ausschließlich bei der verarbeitenden Stelle geprüft werden.34 Demnach
komme es ausschließlich auf die Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle an.35 Demnach sind die Kenntnisse und Fähigkeiten Dritter nicht in die Prüfung mit einzubeziehen.36 Nach dieser Ansicht wäre die IP-Adresse nicht personenbezogen, da es der Ermittlungsfirma selbst nicht möglich ist, einen Personenbezug herzustellen. Dies kann nur anhand der Daten des Access-Providers erfolgen.37
4.1.2 Objektiver Personenbezug
Nach der Auffassung des objektiven Personenbezugs reicht allein die theoretische Möglichkeit der Herstellung eines Personenbezugs aus, damit ein personenbezogenes Datum im Sinne des
§ 3 Abs. 1 BDSG vorliege.38 Danach reicht es aus, wenn ein Dritter den Personenbezug herstellen kann.39 Da der Access-Provider
33 Eine IP-Adresse ist in 4 Oktette nach dem Muster 192.168.11.0 (für den internen Gebrauch) aufgeteilt
34 Schaffland/Wiltfang, BDSG Kommentar 2010, § 3 Rn. 17; Bergmann/Möhrle/Herb, Datenschutzrecht, Handkommentar, 41. Auflage, Stuttgart 2010, § 3 Rn.
16; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 33, 35; Gola/Schomerus, BDSG, § 3
Rn. 10, 44; Roßnagel/Scholz, MMR 2000, 721 (723); Meyerdirks, MMR 2009, 8 (9);
Krüger/Maucher, MMR 2011, 433 (436), Karg, MMR-Aktuell 2011, 315811 Ziffer 3.
35 Gola/Schomerus, BDSG, § 3 Rn. 10; Meyerdirks, MMR 2009, 8 (9); Krüger/
Maucher, MMR 2011, 433 (436), Karg, MMR-Aktuell 2011, 315811 Ziffer 3.
36 Gola/Schomerus, BDSG, § 3 Rn. 10; Meyerdirks, MMR 2009, 8 (9); Krüger/
Maucher, MMR 2011, 433 (436), Karg, MMR-Aktuell 2011, 315811 Ziffer 3.
37 OLG Hamburg, a.a.O., MMR 2011, 281; OLG München, a.a.O., BeckRS 2011,
19897; LG Wuppertal, Beschluss vom 19.10.2010 – 25 Qs 1977/08-177/10, MMR
2011, 65; AG München, Urteil vom 30.9.2008 – 133 C 5677/08, BeckRS 2008, 23037;
Krüger/Maucher, MMR 2011, 433 (436).
38 Weichert, in: Däubler/Klebe/Wedde/Weichert, Kommentar BDSG, 3. Aufl.,
München 2010, § 3 Rn. 3; Pahlen-Brandt, DuD 2008, 34; Pahlen-Brandt, K&R 2008,
288 (291); Bohne, in: Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, 3.
Aufl., München 2009, § 101 Rn. 34; Arbeitskreis Medien, Orientierungshilfe zum
Umgang mit personenbezogenen Daten bei Internetdiensten, 3.1 Zugangsanbieter (Access-Provider), abrufbar unter http://www.datenschutz.hessen.de/_
old_content/tb31/k25p03.htm zuletzt abgerufen am 20.10.2011; LG Berlin, Urteil
vom 6.9.2007 – 23 S 3/07, MMR 2007, 799 m. Anm. Köcher; AG Berlin-Mitte, Urteil
vom 27.3.2007 – 5 C 314/06, K&R 2007, 600; Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, S. 29 abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_de.pdf
zuletzt abgerufen am 20.10.2011; Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, S. 9
abrufbar unter http://ec.europa.eu/justica/policies/privacy/docs/wpdocs/2008/
wp148_de.pdf zuletzt abgerufen am 20.10.2011; VG Wiesbaden, Beschluss
vom 27.2.2009 – 6 K 1045/08.WI, MMR 2009, 428 (432); Schweiz. BG, Urteil vom
27.5.2009 – A-3144/2008, MMR 2009, 797 (Ls.), Maaßen, GRUR-Prax 2010, 536.
39 Weichert, VuR 2009, 323 (325); Pahlen-Brandt, K&R 2008, 769; Meyerdirks, MMR 2009, 8 (9), Maaßen, GRUR-Prax 2010, 536.
3
AUFSÄTZE
zweifellos den Personenbezug zum Anschlussinhaber herstellen
kann, ist nach dieser Auffassung eine Bestimmbarkeit im Sinne
des § 3 Abs. 1 BDSG gegeben.
4.2 Neue Rechtsprechung des BGH vom 13.1.2011
Während der Bundesgerichtshof in seinen früheren Entscheidungen davon ausgegangen ist, dass die IP-Adresse lediglich ein
Bestandsdatum sei, hat er die Diskussion um den Personenbezug von IP-Adressen in einem aktuellen Urteil neu entfacht.40 In
dieser Entscheidung ordnet der BGH die IP-Adresse entgegen
dem Urteil des I. Zivilsenats (Sommer unseres Lebens)41 als Verkehrsdatum im Sinne der §§ 96 Abs. 1, 100 Abs. 1 Telekommunikationsgesetz (TKG) ein.42
Zwar lässt sich diesem Urteil keine konkrete Aussage des BGH
zu dieser Frage entlocken, gleichwohl erkennt der BGH an, dass
die Speicherung der IP-Adresse ein Eingriff in Grundrechte darstellt. Nach Auffassung des BGH sind hierbei das Fernmeldegeheimnis Art. 10 Abs. 1 Grundgesetz (GG) und zudem das Recht
auf informationelle Selbstbestimmung Art. 1 Abs. 1 i.V.m. Art. 2
Abs. 1 GG als besondere Ausprägung des allgemeinen Persönlichkeitsrechts betroffen.43 Diese seien jedoch nach Auffassung
des BGH nicht schwerwiegend.44 Wenn nun aber der Schutzbereich des Rechts auf informationelle Selbstbestimmung nach Auffassung des BGH eröffnet ist, so lässt dies nur den Schluss zu,
dass IP-Adressen personenbezogene Daten im Sinne des § 3 Abs.
1 BDSG sind.45 Auch die Einordnung als Verkehrsdatum im Sinne der §§ 96 Abs. 1, 100 Abs. 1 TKG lässt auf einen Personenbezug schließen, da beide Normen im 2. Abschnitt des TKG „Datenschutz“ zu finden sind.46
4.3 Stellungnahme
Der Auffassung des objektiven Personenbezugs ist zu folgen. Der
alleinige Beweggrund und Inhalt des Geschäftsmodells der Ermittlung von IP-Adressen zur weiteren zivilrechtlichen Verfolgung liegt darin, die gewonnenen Daten zum Zwecke der Herstellung des Personenbezugs zu verkaufen. Eine Bestimmbarkeit
liegt zudem vor, wenn die Identität des Betroffenen mit Hilfe eines Dritten festgestellt werden kann, wenn dieser rechtlich dazu
verpflichtet ist und der Aufwand für die Inanspruchnahme der
Hilfe nicht unverhältnismäßig ist.
Durch die Möglichkeit eines Gestattungsverfahrens nach § 101
Abs. 9 UrhG ist es für den Rechteinhaber verhältnismäßig einfach, einen Personenbezug unter Zuhilfenahme des aufgrund des
Gestattungsbeschlusses des Gerichts dazu rechtlich verpflichteten Dritten, dem Access Provider, herzustellen. Der Aufwand
hierfür ist nach § 3 Abs. 6 BDSG zu messen. Demnach ist der
Aufwand an Zeit, Kosten und Arbeitskraft zu berücksichtigen.
Durch die weitestgehende Automatisierung des Verfahrens nach
§ 101 Abs. 9 UrhG – hier werden vorgefertigte Standardanträge
lediglich um die Angaben der jeweiligen Rechteinhaber und deren Werke ergänzt – hält sich der Aufwand an Zeit und Arbeits40 BGH, MMR 2011, 341 m. Anm. Karg.
41 BGH, Urteil vom 12.5.2010 – I ZR 121/08, MMR 2010, 565 (567).
42 BGH, MMR 2011, 341.
43 BGH, MMR 2011, 341 m. Anm. Karg.
44 BGH, MMR 2011, 341 m. Anm. Karg.
45 Karg, MMR 2011, 345; Lorenz, JurisPR-ITR 15/2011 Anm. 2; a. A. Krüger/
Maucher, MMR 2011, 434 (436).
46 Lorenz, JurisPR-ITR 15/2011 Anm. 2.
4
kraft in Grenzen. Nach § 128e Abs. 1 Nr. 4 KostO beträgt die Gerichtsgebühr für einen Antrag nach § 101 Abs. 9 UrhG 200,- €,47
der Streitwert wird zumeist auf den Regelstreitwert von 3.000,€ festgesetzt,48 so dass Anwaltskosten in Höhe von 265,- € pro
Antrag entstehen. Angesichts der Tatsache, dass häufig hunderte
IP-Adressen in nur einem Gestattungsbeschluss zur Beauskunftung freigegeben werden, sind auch die Kosten vernachlässigbar.
Folglich ist die IP-Adresse zusammen mit den weiteren Daten
personenbeziehbar und damit personenbezogen im Sinne des § 3
Abs. 1 BDSG.49
5 Zulässigkeit nach dem BDSG
Nach § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung oder Nutzung der IP-Adresse nur zulässig, wenn es das BDSG oder eine
andere Rechtsvorschrift dies erlaubt, oder der Betroffene eingewilligt hat.
5.1 Einwilligung des Betroffenen
Um eine wirksame Einwilligung des Betroffenen im Sinne des
BDSG annehmen zu können, muss diese nach § 4a Abs. 1 S. 1
BDSG auf der freien Entscheidung des Betroffenen beruhen.
Auch ist er nach § 4a Abs. 1 S. 2 BDSG auf den vorgesehenen
Zweck der Erhebung, Verarbeitung und Nutzung hinzuweisen.
Nach § 4a Abs. 1 S. 3 BDSG bedarf es einer schriftlichen Einwilligung des Betroffenen, sofern nicht wegen besonderer Umstände eine andere Form angemessen ist.
Da das Erheben der IP-Adresse durch die Ermittlungsfirmen
heimlich geschieht, fehlt es an allen Tatbestandsvoraussetzungen für eine wirksame Einwilligung des Betroffenen. Eine zulässige Erhebung aufgrund einer Einwilligung des Betroffenen
scheidet somit aus.
5.2. Zulässigkeit nach § 28 BDSG
Soweit eine wirksame Einwilligung des Betroffenen ausscheidet, könnte eine Zulässigkeit der Ermittlung der IP-Adressen
und Zusatzdaten nach § 28 BDSG in Betracht kommen. Mangels
Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses
zwischen Ermittlungsfirma und Betroffenem kommen allenfalls
§ 28 Abs. 1 S. 1 Nr. 2 und § 28 Abs. 1 S. 1 Nr. 3 BDSG in Betracht.
5.2.1 § 28 Abs. 1 S. 1 Nr. 2 BDSG
Hierzu wäre es erforderlich, dass das Ermitteln der Daten zur
Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zur Annahme besteht, dass
schutzwürdige Interessen des Betroffenen am Ausschluss der
Verarbeitung oder Nutzung der Daten überwiegen.
47 Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl.,
München 2011, § 101 Rn. 26; Überblick bei Hofmann, MMR 2009, 655 (660f.); Otten, GRUR-RR 2009, 369 (372).
48 Überblick bei Hofmann, MMR 2009, 655 (660f.); Otten, GRUR-RR 2009, 369
(372).
49 So auch ohne nähere Begründung EuGH, Urteil vom 24.11.2011, C-70/10 http://curia.europa.eu/juris/liste.jsf?language=de&num=C-70/10.
DuD • Datenschutz und Datensicherheit
1 | 2012
AUFSÄTZE
Dabei stellen berechtigte Interessen der verantwortlichen Stelle auch wirtschaftliche Interessen der Ermittlungsfirmen dar.50
Wie oben bereits ausgeführt erhält die Ermittlungsfirma für jeden ermittelten IP-Adressdatensatz einen Betrag in Höhe von 50,€ oder mehr. Folglich liegen eigene berechtigte - wirtschaftliche
– Interessen der Unternehmen vor.
Die Verwendung der erhobenen Daten unterliegt jedoch dem
Vorbehalt der Interessenabwägung.51 Zwar beeinträchtigt nicht
jede Verarbeitung oder Nutzung schutzwürdige Interessen des
Betroffenen.52 In jedem Fall hat die verantwortliche Stelle jedoch
eine Interessenabwägung vorzunehmen.53
Entscheidend für die Zulässigkeit der Erhebung und Nutzung
der Daten nach § 28 Abs. 1 S. 1 Nr. 2 BDSG ist demnach, ob
in jedem Einzelfall eine Abwägung zwischen dem Datenerhebungsinteresse und den schutzwürdigen Interessen der Betroffenen erfolgt.54 Soweit und solange die IP-Adressen mittels automatisierten, softwaregestützten Verfahrens erhoben werden, liegt eine solche Einzelfallabwägung indes nicht vor.55 Zudem überwiegen die schutzwürdigen Interessen des betroffenen Anschlussinhabers, da zum Zeitpunkt der Ermittlung der Ermittlungsfirma
nicht bekannt ist, ob er als Verletzer oder Störer einer möglichen
Urheberrechtsverletzung in Anspruch genommen werden kann.
So ist es möglich, dass es sich bei dem ermittelten Anschlussinhaber um einen Betreiber eines WLAN-Hot-Spots oder Internetcafés handelt, welcher nicht Störer im Sinne des Urheberrechts ist.56
In jüngster Zeit wird die Frage der Störerhaftung auch im Hinblick auf mitbenutzende Ehegatten in Frage gestellt.57
Allein die Möglichkeit, die Datenerhebung könne zur Durchsetzung urheberrechtlicher Ansprüche notwendig sein, vermag
einen automatisierten Eingriff einer privaten Stelle in das Recht
auf informationelle Selbstbestimmung des Betroffenen nicht zu
rechtfertigen.58
Mithin scheidet eine zulässige Ermittlung nach § 28 Abs. 1 S.
1 Nr. 2 BDSG aus.
oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle überwiegt.
Hierbei ist es bereits fraglich, ob IP-Adressen in Tauschbörsen aus allgemein zugänglichen Quellen stammen. Allgemein zugänglich sind die Daten dann, wenn sie sich sowohl in ihrer Zielsetzung als auch in der Veröffentlichungsform nach eignen, einem individuell nicht bestimmbaren Personenkreis Informationen zu vermitteln.59 Grundsätzlich sind daher auch Daten hierunter zu fassen, welche im Internet von jedermann mittels Suchmaschinen abgerufen werden können.60 Allerdings müssen die
Daten dort mit Willen des Betroffenen oder legitim handelnder
Dritter veröffentlich worden sein.61 Die IP-Adresse des Anschlussinhabers wird beim Aufbau einer Internetverbindung zwangsläufig und ohne dessen Zutun bekanntgegeben. Es ist daher fraglich, ob die Daten mit Willen des Betroffenen im Internet als allgemein zugänglich angesehen werden können.
Selbst wenn man die Auffassung vertritt, dass IP-Adressen aus
allgemein zugänglichen Quellen im Sinne des § 28 Abs. 1 S. 1 Nr.
3 BDSG stammen, so scheitert eine Zulässigkeit jedoch wieder an
der nicht durchgeführten Einzelfallabwägung bei einer automatisierten Datenerfassung durch eine Software.
5.2.2 § 28 Abs. 1 S. 1 Nr. 3 BDSG
5.4.1. § 29 Abs. 1 S. 1 Nr. 1 BDSG
Möglich wäre eine zulässige Erhebung und Nutzung der Daten
nach § 28 Abs. 1 S. 1 Nr. 3 BDSG, wenn die Daten – hier die
IP-Adresse – allgemein zugänglich sind und das schutzwürdige
Interesse des Betroffenen an dem Ausschluss der Verarbeitung
Für die Zulässigkeit nach dieser Norm wäre es erforderlich,
dass kein Grund zur Annahme besteht, dass der Betroffene ein
schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat. Weil sich der Wortlaut von § 29
Abs. 1 S. 1 Nr. 1 BDSG von dem des § 28 Abs. 1 S. 1 Nr. 2 BDSG
unterscheidet könnte man zu der Auffassung gelangen, dass hier
eine Einzelfallabwägung nicht notwendig wäre.62 Es wird daher
diskutiert, ob der Gesetzgeber möglicherweise davon ausging,
dass eine solche Abwägung bei § 29 BDSG entweder nicht notwendig oder aber nicht möglich sei.63 Struktur und Wortlaut von
§ 29 Abs. 1 S. 1 Nr. 1 BDSG bringe zum Ausdruck, dass der Gesetzgeber die geschäftsmäßige Speicherung von personenbezogenen Daten grundsätzlich billigen würde.64 Daher sei eine Abwägung im Einzelfall nicht notwendig. Zudem bestünden keinerlei
50 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 104; Gola/Schomerus, BDSG, § 28
Rn. 24; Schaffland/Wiltfang, BDSG, § 28 Rn. 85.
51 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 125; Gola/Schomerus, BDSG, § 28
Rn. 24.
52 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 125; Ganßauge, Datenverarbeitung und –nutzung von Kreditwürdigkeitsdaten durch fremdnützige Verarbeiter:
mit einer Darstellung der Rechtstatsachen bei der SCHUFA und der Organisation
Creditreform, Schriften Zum Recht des Informationsverkehrs und der Informationstechnik 11, Berlin 1995, S. 167.
53 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 125; Gola/Schomerus, BDSG, § 28
27; BGH, Urteil vom 16.9.1985 – II ZR 275/84, NJW 1986, 188 (190).
54 Maaßen, MMR 2009, 511 (513); Gola/Schomerus, BDSG, § 28 Rn. 24, 27.
55 Maaßen, MMR 2009, 511 (513); Körner-Dammann, NJW 1992, 1543 (1544),
wonach dort ebenfalls keine Einzelfallprüfung vorgenommen wird, sofern eine komplette Patientendatei übergeben wird.; Bergmann/Möhrle/Herb, Datenschutzrecht, § 28 Rn. 110 unter Bezugnahme auf BGH, Urteil vom 15.12.1983 – III
ZR 207/82, NJW 1984, 1889 (1890) wo die konkrete Einzelfallprüfung akzentuiert wird.
56 OLG Köln, Beschluss vom 21.10.2008 - 6 Wx 2/08, MMR 2008, 820 (821); LG
Köln, Urteil vom 31.08.2011 - 28 O 362/10, BeckRS 2011, 22073.
57 OLG Köln, a.a.O., MMR 2011, 396 (397).
58 Maaßen, MMR 2009, 511 (513); im Ergebnis auch Simitis, in: Simitis (Hrsg.),
BDSG § 28 Rn. 135.
DuD • Datenschutz und Datensicherheit
1 | 2012
5.3 Zwischenergebnis
Die Erhebung, Speicherung und Nutzung der ermittelten Daten
ist daher weder nach § 28 Abs. 1 S. 1 Nr. 2, noch nach § 28 Abs. 1
S. 1 Nr. 3 BDSG zulässig.
5.4 Zulässigkeit nach § 29 BDSG
Da die Daten geschäftsmäßig zum Zwecke der Übermittlung an
die Rechteinhaber erhoben und genutzt werden, könnte sich eine Zulässigkeit zudem möglicherweise aus § 29 Abs. 1 S. 1 Nr. 1
oder § 29 Abs. 1 S. 1 Nr. 2 BDSG ergeben.
59 BVerfGE 27, 71 (83); BVerfGE 27, 104 (108); BVerfGE 33, 52 (65); BVerfGE 103,
44 (60).
60 Gola/Schomerus, BDSG, § 28 Rn. 33a; Simitis, in: Simitis (Hrsg.), BDSG § 28,
Rn. 151.
61 Gola/Schomerus, BDSG, § 28 Rn. 33a; Wedde, in: Däubler/Klebe/Wedde/
Weichert, BDSG, § 28 Rn. 56.
62 Ehmann, in: Simits (Hrsg.), BDSG, § 28 Rn. 155 ff. m.w.N.; Gola/Schomerus,
BDSG, § 29 Rn. 10.
63 Ehmann, in: Simits (Hrsg.), BDSG, § 28 Rn. 156.
64 Auernhammer, BDSG, Kommentar, 3. Aufl., Köln 1993, § 29 Rn. 10.
5
AUFSÄTZE
rechtliche Beziehungen zwischen Betroffenem und verantwortlicher Stelle, so dass eine Abwägung am fehlenden notwendigen
Abwägungsmateriel unmöglich sein könnte.65
Diese Auffassung verkennt indes, dass sich das grundsätzliche Gebot einer Interessenabwägung im Einzelfall bereits daraus ergibt, dass ohne eine solche zwischen § 29 Abs. 1 S. 1 Nr.
1 BDSG und § 29 Abs. 1 S. 1 Nr. 2 BDSG ein Wertungswiderspruch besteht.66 Nach dem Wortlaut des § 29 Abs. 1 S. 1 Nr. 2
BDSG („überwiegt“) bedarf es einer solchen Interessenabwägung
im Einzelfall. Wenn dies im Falle des § 29 Abs. 1 S. 1 Nr. 1 BDSG
nun nicht gelten sollte, so wären im Ergebnis die Daten der Betroffenen, welche aus allgemein zugänglichen Quellen stammen,
stärker geschützt als solche Daten, denen diese Eigenschaft fehlt.67
Besteht daher auch nur ein Grund zur Annahme, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, so ist stets eine Interessenabwägung im Einzelfall vorzunehmen.68 Dass der Anschlussinhaber ein schutzwürdiges Interesse an der Geheimhaltung seiner Kommunikationsdaten hat, wurde bereits oben ausgeführt. Ebenso wurde bereits erörtert, dass aufgrund der automatisierten, softwaregestützten Ermittlung keine Einzelfallabwägung vorgenommen wird, so dass im Ergebnis eine Zulässigkeit
nach § 29 Abs. 1 S. 1 Nr. 1 BDSG zu verneinen ist.
5.4.2 § 29 Abs. 1 S. 1 Nr. 2 BDSG
Nach dieser Norm wäre die Ermittlung zulässig, wenn die Daten
aus allgemein zugänglichen Quellen entnommen werden können
und ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung des Betroffenen offensichtlich nicht überwiegt.
Bei den ermittelten Daten handelt es sich - wie oben dargestellt
- bereits nicht um Daten aus allgemein zugänglichen Quellen. Zudem bedarf es einer Einzelfallabwägung, welche aufgrund der Art
der Ermittlung ebenfalls nicht vorgenommen wird, so dass beide Voraussetzungen für eine zulässige Erhebung der fraglichen
Daten nach § 29 Abs. 1 S. 1 Nr. 2 BDSG nicht in Betracht kommt.
5.5 Zwischenergebnis
Da bereits die Ermittlung (Erhebung, Speicherung und Nutzung
der Daten) nach § 29 Abs. 1 BDSG ausscheidet, kommt auch eine zulässige Übermittlung der Daten an den Rechteinhaber nach
§ 29 Abs. 2 BDSG nicht in Betracht. Mithin stehen keine Erlaubnisnormen im Sinne des BDSG zur Verfügung.
6 Grundsatz der Direkterhebung
nach § 4 Abs. 2 BDSG
Selbst wenn man die §§ 28, 29 BDSG als Erlaubnisnormen für die
heimliche Ermittlung der IP-Adressen ansehen würde, so könnte die Zulässigkeit dennoch am Grundsatz der Direkterhebung
65 Ehmann, in: Simits (Hrsg.), BDSG, § 29 Rn. 156.
66 Ehmann, in: Simits (Hrsg.), BDSG, § 29 Rn. 160; im Ergebnis auch Gola/
Schomerus, BDSG, § 29 Rn. 10.
67 Ehmann, in: Simits (Hrsg.), BDSG, § 29 Rn. 160; im Ergebnis auch Gola/
Schomerus, BDSG, § 29 Rn. 10.
68 Gola/Schomerus, BDSG, § 29, Rn. 11; Ehmann, in: Simitis (Hrsg.), BDSG, § 29
Rn. 160.
6
nach § 4 Abs. 2 BDSG scheitern. Dies bedeutet, dass die Daten
direkt bei Betroffenen zu erheben sind und dass der Betroffene
dran mitwirkt, um vom Erhebungsvorgang Kenntnis zu erlangen.69 Dabei kann die Mitwirkung sowohl aktiv als auch passiv
durch eine ausdrückliche, bewusste Duldung der Erhebung der
Daten bestehen.70
Beim Betroffenen selbst sind diese Daten daher nur dann erhoben, wenn dieser über Art und Umfang der Preisgabe seiner
Daten bewusst entscheiden kann.71 Eine heimliche Erhebung ist
daher unzulässig.72
Eine solche Erhebung hinter dem Rücken und ohne Mitwirkung des Betroffenen wäre nur dann erlaubt, wenn eine Rechtsvorschrift dies zwingend voraussetzen oder vorsehen würde (§ 4
Abs. 2 S. 2 Nr. 1 BDSG). Eine solche ist jedoch nicht erkennbar.73
Auch liegt keine offene Datenerhebung bei einem Dritten vor.74
Weitere Ausnahmen nach § 4 Abs. 2 S. 2 Nr. 2 BDSG liegen ebenfalls nicht vor und würden zudem bei der nach § 4 Abs. 2 S. 2 Nr. 2
BDSG erforderlichen Abwägung im Einzelfall aufgrund der oben
dargestellten Gründe der automatisierten, softwaregestützten Ermittlung scheitern.
Ein Verstoß gegen § 4 Abs. 2 BDSG bedeutet indes nicht, dass
eine ansonsten zulässige Datenerhebung nach §§ 28, 29 BDSG
unzulässig wäre. Dies ergibt sich daraus, dass § 4 Abs. 2 BDSG
nicht als eigenständige Erlaubnisnorm im Sinne des § 4 Abs. 1
BDSG anzusehen ist. Sofern man eine Zulässigkeit der Erhebung
nach §§ 28, 29 BDSG bejaht, muss ein Verstoß gegen § 4 Abs.2
BDSG jedoch im Rahmen der Einzelfallabwägung zugunsten der
schutzwürdigen Interessen der Betroffenen berücksichtig werden.75 Sofern das Ergebnis dieser Prüfung lautet, dass die berechtigten Interessen des von den Rechteinhabern beauftragten Ermittlungsunternehmens stets überwiegen, so hätte dies jedoch
zur Folge, dass ein ständiger Verstoß dieser Unternehmen gegen
§ 4 Abs. 2 BDSG ohne Konsequenzen bliebe.76 Andererseits wäre
bei einem anderen Ergebnis die zivil- und strafrechtliche Ahndung von Urheberrechtsverletzungen in Tauschbörsen erheblich
erschwert und zumindest mittels automatischer Softwareermittlung nicht möglich.77
Da beide Ergebnisse unbefriedigend sind, oblag es dem Gesetzgeber eine Erlaubnisnorm im BDSG oder im UrhG zu schaffen,
die es den Urheberrechtsinhabern ermöglicht, in datenschutzrechtlich unbedenklicher Weise an die IP-Adressen potenzieller
Urheberrechtsverletzer zu gelangen.78
Die Bundesregierung hatte die Bedenken des Bundesrates jedoch dadurch zerstreut, dass sie die Auffassung vertrat, dass derjenige, der über das Internet kommuniziere auch wisse, dass er
69 Sokol, in Simits (Hrsg.), BDSG, § 4 Rn. 20; Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, § 4 Rn. 5; Auernhammer, BDSG, § 13 Rn. 12.
70 Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 23; Gola/Schomerus, BDSG, § 4 Rn. 21.
71 Gola/Schomerus, BDSG, § 4 Rn. 21; Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 23.
72 Gola/Schomerus, BDSG, § 4 Rn. 21; Bohne, in: Wandtke/Bullinger, UrhG,
§ 101 Rn. 34.
73 4. Tätigkeitsbericht des Innenministeriums BaWü, 2007, S 98, abzurufen
unter http://www.baden-wuerttemberg.datenschutz.de/lfd/tb/imtbs/im2007.
zip, zuletzt abgerufen am 21.10.2011; BT-Drs. 16/5048, S. 57; Bohne, in: Wandtke/
Bullinger, UrhG, § 101 Rn. 34.
74 4. Tätigkeitsbericht des Innenministeriums BaWü, 2007, S. 98; s. Fn. 72; BTDrs. 16/5048, S. 57.
75 4. Tätigkeitsbericht Innenministerium BaWü, 2007, S. 98.; s. Fn. 72.
76 4. Tätigkeitsbericht Innenministerium BaWü, 2007, S. 98.; s. Fn. 72.
77 BT-Drs. 16/5048, S. 57; Überblick bei Dreier, in: Dreier/Schulze, UrhG, 3.
Aufl., München 2008, § 101 Rn. 37.
78 BT-Drs. 16/5048, S. 57; Überblick bei Dreier, in: Dreier/Schulze, UrhG, § 101
Rn. 37.
DuD • Datenschutz und Datensicherheit
1 | 2012
AUFSÄTZE
seine IP-Adresse offenbare.79 Zudem würden die Kommunikationsdaten nach Auffassung der Bundesregierung ohnehin beim
Kommunikationspartner gespeichert werden, so dass dieser keine spezielle Software dazu benötige und daher die Daten unter
Mitwirkung des Betroffenen erhoben würden.80 Demnach hat es
der Gesetzgeber trotz Wissens um die Problematik der heimlichen Ermittlung bewusst unterlassen, eine Erlaubnisnorm entweder im BDSG oder im UrhG zu schaffen, so dass derzeit weiterhin keine solche Norm besteht.
Die Auffassung der Bundesregierung überzeugt bereits aus
dem Grunde nicht, dass selbst bei einem – wohl nur passiv möglichen – Mitwirken des Anschlussinhabers an der Erhebung der
Daten es noch immer an der Kenntnis des Betroffenen von dem
Erhebungsvorgang mittels spezieller Ermittlungssoftware fehlt.
Zudem stellt wie oben dargestellt § 4 Abs. 2 BDSG keine eigenständige Erlaubnisnorm im Sinne des § 4 Abs. 1 BDSG dar. Des
Weiteren ist es bei Filesharingfällen auch denkbar, dass nicht der
Betroffene, mithin der Anschlussinhaber selbst, an der Erhebung
der Daten mitwirkt, sondern dass ein Familienangehöriger oder
sonstiger Dritter ohne Kenntnis des Anschlussinhabers den Anschluss benutzt und die Daten des Anschlussinhabers ohne dessen Zutun anderen öffentlich zugänglich macht.
Folglich scheitert eine heimliche Ermittlung auch im Falle einer unterstellten Zulässigkeit der Erhebung nach §§ 28, 29 BDSG
an dem Verstoß gegen den Grundsatz der Direkterhebung gemäß
§ 4 Abs. 2 BDSG und zudem an der nicht erfolgten Einzelfallabwägung bei einer automatischen Ermittlung durch eine Software.
7 Erlaubt durch andere Rechtsvorschrift
Soweit eine Zulässigkeit nach dem BDSG nicht vorliegt ist fraglich, ob möglicherweise eine andere Rechtsvorschrift im Sinne
des § 4 Abs. 1 BDSG dies erlaubt. Unter einer solchen Rechtsvorschrift sind alle materiellen Rechtsnormen mit unmittelbarer Außenwirkung zu verstehen, mithin Gesetze und Rechtsverordnungen.81
In Betracht kommen daher insbesondere das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) sowie das Urhebergesetz (UrhG).
7.1 Erlaubnis nach dem TKG
Nach §§ 96 Abs. 1, 100 Abs. 1 TKG dürfen Diensteanbieter unter
gewissen Umständen Verkehrsdaten speichern. Um in den Genuss dieser Vorschriften zu gelangen, müsste das Unternehmen
als Diensteanbieter im Sinne des § 3 Nr. 6 a) und b) TKG zu qualifizieren sein. Danach ist jeder Diensteanbieter, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder
an der Erbringung solcher Dienste mitwirkt. Nach § 3 Nr. 10 TKG
handelt es sich dabei um das nachhaltige Angebot von Telekommunikation für Dritte mit und ohne Gewinnerzielungsabsicht.
Da die Ermittlungsfirmen jedoch keine Telekommunikation
für Dritte anbieten, sondern vielmehr selber Teilnehmer eines
Kommunikationsvorgangs sind, sind sie nicht als Diensteanbie79 BT-Drs. 16/5048, S. 63; so auch Zombik, ZUM 2006, 450 (454); Überblick bei
Dreier, in: Dreier/Schulze, UrhG, § 101 Rn. 37.
80 BT-Drs. 16/5048, S. 63 f.; Überblick bei Dreier, in: Dreier/Schulze, UrhG,
§ 101 Rn. 37.
81 Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 9; Gola/Schomerus, BDSG, § 4 Rn. 7.
DuD • Datenschutz und Datensicherheit
1 | 2012
ter im Sinne des TKG anzusehen. Mithin scheidet eine Erlaubnis
nach §§ 96 Abs. 1, 100 Abs. 1 TKG aus.
7.2 Erlaubnis nach TMG
Nach § 15 Abs. 1 TMG wäre es einem Diensteanbieter ebenfalls erlaubt, personenbezogene Daten eines Nutzers unter engen
Grenzen zu erheben und zu verwenden, sofern dies erforderlich
ist, um die Inanspruchnahme von Telemedien zu ermöglichen
oder abzurechnen. Auch hier stellt sich daher zunächst die Frage, ob die Ermittlungsfirma Diensteanbieter im Sinne des TMG
sein kann.
Nach § 2 S. 1 Nr. 1 TMG ist Diensteanbieter jede natürliche
oder juristische Person, die eigene oder fremde Telemedien zur
Nutzung bereithält oder den Zugang zur Nutzung vermittelt.
P2P-Netzwerke stellen jedoch weder eigene Telemedien für die
Ermittlungsfirmen dar, noch werden diese von den Ermittlungsfirmen zur Nutzung bereitgehalten. Allenfalls wären die Unternehmen selber Nutzer fremder Telemedien, was jedoch eine Eigenschaft als Diensteanbieter ausschließt. Mithin scheidet auch
eine Erlaubnis nach § 15 Abs. 1 TMG aus.
7.3 Erlaubnis nach dem UrhG
Dem UrhG ist keine Erlaubnisnorm zur Erhebung und Speicherung von Verkehrsdaten im Sinne des § 101 Abs. 9 S. 1 UrhG zu
entnehmen, so dass eine Erlaubnis nach dem UrhG ebenfalls ausscheidet.
8 Ergebnis
So bedauerlich es für die Rechteinhaber und die Ermittlungsfirmen auch ist, so steht ihnen zumindest derzeit keine datenschutzrechtlich unbedenkliche Möglichkeit einer automatisierten softwaregestützten Ermittlung von IP-Adressen nebst den weiteren
Daten, wie Größe der getauschten Datei, Hashwerte der Datei etc.
zur Verfügung. Eine Ermittlung nach §§ 28, 29 BDSG scheitert
spätestens an der nicht vorgenommenen Einzelfallabwägung zwischen den Rechten der Urheberrechts- oder Nutzungsrechtsinhaber bzw. dem wirtschaftlichen Interesse der Ermittlungsfirma und den Grundrechten des Betroffenen auf informationelle
Selbstbestimmung und dem Fernmeldegeheimnis.
Der Gesetzgeber hätte im Rahmen des Gesetzgebungsverfahrens des Gesetzes zur Verbesserung der Durchsetzung von
Rechten des geistigen Eigentums eine Erlaubnisnorm entweder
im BDSG oder im UrhG verankern können, um es den Rechteinhabern zu ermöglichen, datenschutzrechtlich unbedenklich
an die IP-Adressen potenzieller Urheberrechtsverletzer zu gelangen. Dies hat er jedoch trotz Bedenken des Bundesrates nicht getan und stattdessen die Auffassung vertreten, dass die Erhebung
unter – einer nicht näher begründeten - Mitwirkung des Betroffenen im Sinne des § 4 Abs. 2 BDSG geschehe und daher datenschutzrechtlich erlaubt sei. § 4 Abs. 2 BDSG stellt jedoch keine eigenständige Erlaubnisnorm im Sinne des § 4 Abs. 1 BDSG dar,
so dass es weiterhin keine geeignete Rechtsvorschrift zur heimlichen Ermittlung von IP-Adressen zur Identifizierung des Verletzers von Urheberrechten gibt und die derzeitigen automatisch
durchgeführten Ermittlungen datenschutzrechtlich als unzulässig zu bewerten sind.
7