Dr. Marc Störing – Online.Spiele.Recht

LG Berlin: Dynamische IP-Adressen sind nicht immer personenbezogene Daten

Dr. Marc Störing — Thu, 31 Oct 2013 07:10:51 +0000

Die Frage, ob IP-Adressen als personenbezogene Daten einzuordnen sind, beschäftigt die Gerichte seit einiger Zeit. Das Landgericht Berlin hat jetzt entschieden (Urt. v. 31.01.2013 – Az. 57 S 87/08, dass das jedenfalls für dynamische IP-Adressen nicht immer der Fall ist, und sich damit der Theorie vom relativen Personenbezug angeschlossen. Das Gericht hat keine Aussage zu der rechtlichen Einordnung von statischen IP-Adressen getroffen.

Die Entscheidung ist noch nicht rechtskräftig, und die Revision ist beim Bundesgerichtshof unter dem Aktenzeichen VI ZR 135/13 anhängig. Die Frage könnte in absehbarer Zeit also auch höchstrichterlich geklärt werden.

IP-Adressen als personenbezogene Daten

Daten weisen einen Personenbezug immer dann auf, wenn sie so eingesetzt werden können, dass sie die betreffende Person bestimmen. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 BDSG). Die EG-Datenschutzrichtlinie 95/46/EG definiert personenbezogene Daten als alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Hierbei dürfen nach den Erwägungsgründe der Richtlinie alle Mittel berücksichtigt werden, die dem Verantwortlichen für die Verarbeitung oder einem Dritten zur Verfügung stehen, um die Bestimmbarkeit einer Person zu ermitteln (LG Berlin, Urt. v. 31. Jan. 2013 – 57 S 87/08, juris Tz. 58).

Bestimmbarkeit

Für das Gericht ist entscheidend, ob eine Bestimmbarkeit durch die Hinzunahme beliebiger weiterer Daten oder die Hilfe Dritter für das jeweilige Unternehmen gegeben ist. Bisher bejahten die Gerichte jedenfalls teilweise einen Personenbezug, wenn irgendein Dritter die erforderlichen Informationen vorliegen hatte. Das Gericht rückt in der Entscheidung von dieser Position ab. Es differenziert zwischen den unterschiedlichen Stellen, denen eine IP-Adresse vorliegen kann. So ist für den Access-Provider eine IP-Adresse immer ein personenbezogenes Datum, denn er hat die jeweilige Adresse ja gerade selbst einem Kunden zugewiesen (BVerfG, Urt. v. 2. März 2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, CR 2010, 232). Daneben unterscheiden die Berliner Richter zwischen absoluten und relativen Verständnis bei der Frage nach der Bestimmbarkeit eines Personenbezugs. Nach dem absoluten Verständnis reicht es aus, wenn nur irgendein Dritter über das notwendige Zusatzwissen zur Herstellung eines Personenbezugs verfügt. Das relative Verständnis stellt hingegen darauf ab, ob die konkret verarbeitende Stelle das über das nötige Zusatzwissen verfügt, oder ob sie sich dieses verschaffen kann.

Das LG Berlin hat sich dem relativen Verständnis angeschlossen. Es fordert daneben noch eine Abwägung im Einzelfall, ob der Datenschutz erforderlich ist bzw. wie weit er reichen soll. Im Rahmen
dieser Abwägung ist nach Ansicht der Richter u. a. zu berücksichtigen,

welche Hürden bestehen, bevor die verarbeitende Stelle an die Zusatzinformationen herankommt,
ob und welche Missbrauchszenarien eine Rolle spielen,
wie groß die Gefahr ist, dass gegen tatsächlich unbeteiligte Anschlussinhaber ermittelt wird.

Einzelfälle

Bemerkenswert ist, dass das Gericht, obwohl es hierzu keine Notwendigkeit hatte, verschiedene Einzelfälle aufgezeigt hat, in denen nach Ansicht der Richter eine IP-Adresse kein personenbezogenes Datum sei. Hierbei stellt das Gericht insbesondere darauf ab, welche Informationen der verarbeitenden Stelle vorliegen. Das Gericht lässt es nicht ausreichen, dass eine Zusammenführung von unterschiedlichen Informationen zu der Bestimmbarkeit einer Person führen. Für eine Bestimmbarkeit sei erforderlich, dass die verarbeitende Stelle die Informationen auf legalem Weg zusammenführe. Dies sei z. B. in jedem Fall bei der Verwendung von Klarnamen gegeben. Verwendet der Benutzer einen Klarnamen, z. B. die E-Mail Adresse für eine Bestellung, so weise die IP-Adresse einen Personenbezug auf, da dieser von der verarbeitenden Stelle hergestellt werden könne. Verwendet der Benutzer keinen Klarname und verfügt der Benutzer über eine dynamische IP-Adresse, so handele es sich nicht um eine personenbezogenes Datum, denn die verarbeitende Stelle könne keinen Personenbezug zu der IP-Adresse herstellen. Dies sei nur und ausschließlich dem
Zugangsanbieter möglich, da dieser sowohl eine Übersicht über die dynamischen IP-Adressen als auch die Personen habe, denen diese Adressen zugeteilt werden. Der Betreiber der Internetseite könne eine solche Zuordnung nur dann durchführen, wenn ihm im Rahmen einer Auskunftserteilung das zusätzlich Wissen des Zugangsanbieters zu Teil würde.

IP-Adresse ohne Zeitstempel

Nach Auffassung der Berliner Richter unterfallen IP-Adressen nur in fester Kombination mit einem Zeitstempel, also einer Zeitangabe über ihre Benutzung. dem Datenschutz. Serverbetreiber dürfen deshalb IP-Adressen jedenfalls dann speichern, wenn die Logfiles keine Timestamps beinhalten. Denn wenn schon Access-Provider nicht ohne weitere Auskunft über die Zuordnung dynamischer IP-Adressen zu einem bestimmten Zeitpunkt nennen dürfen, dann dürfen die Telekommunikationsanbieter erst recht keine ganze Vergabehistorie zu einer bestimmten Adressen herausgeben.

Ermittlung des Anschlussinhabers anstelle des Nutzers

Die Richter erinnern daran, dass durch eine Auskunftserteilung eine IP-Adresse bezogen auf den Anschlussinhaber zu einem personenbezogenen Datum wird. Die Ermittlung des einzelnen Nutzers ist nicht erforderlich. Eine Auskunftserteilung ist jedoch rechtlich nur in einem sehr eingeschränkten Rahmen möglich. Für den Betreiber einer Webseite bedeutet dies, dass für ihn eine IP-Adresse nur dann ein personenbezogenes Datum ist, wenn diese Ermittlung auf einem legalen Weg erfolgt. Die Praxisrelevanz der Auskunftserteilung ist gering.

Ausblick

Bestätigt der BGH die Berliner Richter, so ergeben sich durch die Einführung der IPv6 Adressen keine Änderungen an der dargestellten Situation. Die Telekommunikationsunternehmen vergeben auch IPv6 Adressen dynamisch, obwohl dies technisch nicht mehr erforderlich wäre. Auch bei IPv6 Adressen ist entscheidendes Kriterium, ob alle benötigten Informationen zur Bestimmbarkeit einer Person vorliegen oder auf legalem Wege erlangt werden können.

Bedeutung für die Praxis

Für die Praxis bedeutet die Entscheidung des LG Berlin, dass für die Einstufung als personenbezogenes Datum einer IP-Adresse, die Kenntnisse und Möglichkeiten der konkret handelnden Stelle und
nicht irgendeiner Stelle ausschlaggebend sind. In der Praxis ist folgendes zu beachten:

Eine IP-Adresse, egal ob dynamisch oder statisch ist immer ein personenbezogenes Datum im Rahmen eines Auskunftsersuchens.
Wenn Sie ungekürzte IP-Adressen speichern möchten, dann speichern Sie diese ohne einen Timestamp.
Wenn Sie vollständige IP-Adressen mit einem Timestamp speichern möchten, dann dürfen Sie keine Möglichkeit haben diese mit einem Klarnamen in Verbindung zu bringen.

Wir danken unserem wissenschaftlichen Mitarbeiter Martin Bucerius für die Mitarbeit an diesem Beitrag.

Keine Beschlagnahme von Daten zum Zweck der Vernichtung (Teil 2 von 2)

Dr. Marc Störing — Mon, 30 Sep 2013 07:48:03 +0000

Das Landgerichts (LG) Hamburg entschied in seinem Beschluss vom 02. September 2013 (Az. 629 Qs 34/13; Volltext), dass Daten nicht tauglicher Gegenstand einer wirksamen Beschlagnahme und Löschung im Rahmen eines Ermittlungsverfahrens sein können – wenn es eben nicht um den Beweis einer Tatsache, sondern um die Vernichtung von Daten als Tatwerkzeug geht.

Auslöser war der bundesweit viel beachtete Fall des in der Psychiatrie festgehaltenen Gustl Mollath. Dessen Hamburger Rechtsanwalt Gerhard Strate hat zahlreiche Dokumente veröffentlicht, die mit dem Vorgang rund um Mollaths Prozess und psychiatrische Unterbringung zusammenhängen. Um den gesamten Vorgang zu dokumentieren, machte er Sachverständigengutachten, Anträge, gerichtliche Beschlüsse und ähnliche Dokumente auf der Website seiner Kanzlei verfügbar.

Die Strafverfolger haben im Mai beim Amtsgericht (AG) Hamburg beantragt, das Gericht möge die Löschung der vermeintlich rechtswidrig gehosteten Daten anordnen. Dabei bezog sich die Staatsanwaltschaft auf Vorschriften zur Beschlagnahme – diese erlauben es, „Gegenstände“ einzuziehen, die vereinfacht gesagt als Tatwerkzeug gedient haben. In diesem Fall verlangte die Behörde die Löschung der Daten auf dem Webserver. Das Amtsgericht lehnte es jedoch ab, einen solchen Antrag zu erlassen. Die Ermittlungsbehörde wehrte sich mit einer Beschwerde gegen diese Entscheidung, daher hatte nun das Landgericht (LG) der Hansestadt über die Löschung zu befinden.

Die Richter des LG Hamburg erteilten den Strafverfolgern eine ausführlich begründete Abfuhr. Die Hamburger Richter ließen das Löschverlangen der Strafverfolger unter anderem am Begriff des „Gegenstands“ scheitern. Das Gericht unterschied verschiedene Formen der Beschlagnahme. Hierbei war sowohl eine Beschlagnahme des Servers denkbar, auf dem die Daten sich befinden, als auch eine Beschlagnahme der Daten selbst.

Möchten die Ermittlungsbehörden einen Server beschlagnehmen, so müsse dieser ein Gegenstand sein, der dem Beschuldigten gehört. Ein Server sei ein Gegenstand, gehöre – worauf es hier zusätzlich nun ankommt – jedoch nicht dem Beschuldigten. Unabhängig davon seien die darauf gespeicherten Dateien keine Gegenstände im Sinne der Vorschriften. Denn „der Server (muss) seiner Art und den Umständen nach die Allgemeinheit gefährden oder die Gefahr bestehen, dass er der Begehung rechtswidriger Taten dienen wird“. Nach Ansicht des LG kennt die StPO keine Vorschrift, die die Beschlagnahme von Daten zum Zweck der Löschung regelt. Die Forderung der Löschung der Daten läuft somit ins Leere.

Eine wesentliche Unterscheidung zu der Entscheidung des BVerfG sieht das Gericht darin, dass der Beschuldigte seine Handlungen nicht abstreitet, sondern nur rechtlich anders bewertet als die Hamburger Strafverfolger. Eine Beschlagnahme der Daten würde somit nicht der Beweissicherung dienen, da der zugrundeliegende Sachverhalt nicht umstritten ist, sondern feststeht. Die Entscheidung des LG Hamburgs steht somit nicht im direkten Widerspruch zu der Entscheidung des BVerfG. In der Entscheidung des LG Hamburgs ging es gerade nicht um die Sicherstellung von Beweismitteln. Das Gericht hatte über das Verlangen nach der Löschung der Daten zu entscheiden.

Was bedeutet dies für die Praxis?

Die Entscheidung des LG Hamburgs entlastet einerseits Hosting-Anbieter: In schwebenden Strafverfahren sollten die eigentlich ohnehin unbeteiligten Provider nun soweit unbehelligt bleiben, wie es um die Beseitigung umstrittener Daten geht. Andererseits erschwert die aktuelle Entscheidung jedoch gleichzeitig das Leben der Provider, da nun die richtige Reaktion auf eine Beschlagnahme noch schwieriger zu beurteilen ist.

Ohnehin bedeutet auch die aktuelle Entscheidung nicht, dass nun beispielsweise urheberrechtswidrige, verfassungsfeindliche oder gar kinderpornografische Inhalte möglicherweise für die mehrjährige Dauer eines Verfahrens über mehrere Instanzen hinweg online bleiben dürften. Eindeutig rechtswidrige Inhalte unterliegen auch nach Ansicht der Hamburger Richter einer möglichen Löschanordnung.

Außerhalb solch rechtlich eindeutiger Situationen – in denen ohnehin Provider wohl schon aus Eigeninteresse handeln werden – müssen Provider nun die rechtliche Situation sorgfältiger den je prüfen.

Wir danken unserem wissenschaftlichen Mitarbeiter Martin Bucerius für die Mitarbeit an diesem Beitrag.

Beschlagnahme von gehosteten Daten zu Beweiszwecken (Teil 1 von 2)

Dr. Marc Störing — Wed, 25 Sep 2013 13:47:29 +0000

Die Beschlagnahme eines Servers oder zumindest von Teilen des darauf gehosteten Datenbestandes ist wohl für nahezu jeden Anbieter so etwas wie ein „worst case scenario“. Die Beschlagnahme stellt einen Eingriff in die eigene Serverstruktur dar, der einerseits geduldet werden muss, andererseits aber vielleicht weitere, eigentlich nicht betroffene Kunden schwer beeinträchtigt und obendrein Ressourcen beim Anbieter binden. Diesen zusätzlichen Aufwand möchte der Anbieter gerne nach Möglichkeit vermeiden.

Zu der Frage, ob und wie gehostete Daten beschlagnahmt werden können, hatte sich erstmalig das Bundesverfassungsgericht (BVerfG) im Jahre 2005 geäußert. Für Aufsehen sorgt nun jedoch eine Entscheidung des Landgerichts (LG) Hamburgs von September 2013. Beide Gerichte behandeln die Frage, ob Daten beschlagnahmt werden können, differenzieren jedoch nach dem Grund für die Beschlagnahme.

Lassen sich Daten beschlagnahmen?

Die beiden Gerichte kommen jedoch zu unterschiedlichen Ergebnissen, die auch unterschiedlich begründet werden. Grund hierfür ist, dass die Gerichte unterschiedliche Konstellationen der Beschlagnahme zu bewerten hatten. Das BVerfG bejahte die Beschlagnahme für den Fall, dass diese der Beweissicherung diene. Das LG Hamburg hingegen verneinte die Möglichkeit der Beschlagnahme für den Fall, dass Daten letztlich lediglich offline genommen und vernichtet werden sollen.

Daten als Beweismittel

Das BVerfG hatte 2005 entschieden, dass Daten im Zusammenhang mit einer Beschlagnahme als „Gegenstände“ gelten. Zuvor gab es eine länger anhaltende Diskussion, ob Daten überhaupt nach § 94 Abs. 1, 1. Alt StPO in Verwahrung genommen werden könne – spricht doch die Norm von „Gegenständen“. Der für die Sicherstellung maßgebliche § 94 StPO spricht tatsächlich noch von “Gegenständen, die als Beweismittel … von Bedeutung sein können”. Der Gesetzgeber ging mit dieser Vorschrift vom Leitbild des blutverschmierten und fingerabdruckbesetzen Tatmessers aus, das beim Täter gefunden wird. Lange galt es eher als abwegig, dass sich die in der Vorschrift genannten „Gegenstände“ auch auf Daten beziehen könnten.

Das BVerfG hatte entschieden, dass Daten in dem Zusammenhang einer staatlichen Sicherstellung als „Gegenstände“ gelten können. Letztlich ist diese Interpretation durchaus im Interesse aller Betroffenen – denn wenn andererseits nur der ganze Server oder zumindest die Festplatten als Gegenstände gelten würden, wären die Auswirkungen unverhältnismäßig größer.

Dieser Entscheidung lag die eine Beschlagnahme der Daten zu Beweissicherungszwecken zugrunde. Es ging also darum, dass ein vermuteter Geschehensablauf bewiesen werden sollte: „Hatte der Verdächtige die ihm zu Last gelegte Tat wirklich … indem er …“ Gerade für diese Ermittlung werden die Daten aus der Beschlagnahme benötigt.

Einstufung von Daten unter den Rahmen des Telekommunikationsgesetzes (TKG)

Besonderheiten bei der Beschlagnahme von Daten auf einem Server ergeben sich aufgrund der Vorschriften des TKG. § 88 TKG schützt das Fernmeldegeheimnis. Das Fernmeldegeheimnis schützt den

Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

Dabei sind nicht nur die Inhalte, sondern auch die näheren Umstände einer jeden Telekommunikation geschützt. Informationen darüber, wer wann wem etwas übermittelt, sind zwar weniger sensibel, unterfallen dem Schutz des Fernmeldegeheimnisses damit aber auch. Hierunter würden z. B. Verbindungsdaten fallen. Im Jahr 2009 klärte das Bundesverfassungsgericht, dass das Fernmeldegeheimnis selbst gelesene, private Nachrichten auf dem Server des Betreibers schützt. Dennoch ist auch hier der staatliche Zugriff unter den eher geringen Anforderungen der klassischen Postbeschlagnahme nach § 99 StPO zulässig. Die entsprechende Überwachung und Aufzeichnung der Kommunikation kann auch ohne Wissen des Betroffenen stattfinden (§ 100a StPO).

Was der Aufsehen erregende Fall Gustl Mollath mit diesen Fragen zu tun hat, was das Landgericht Hamburg im Einzelnen zur Beschlagnahme von Daten ausgeführt hat, und welche Auswirkungen diese Entscheidungen für die Praxis (fast) aller Unternehmen haben, die Daten speichern, lesen Sie hier im Blog im Teil 2 dieser Miniserie.

Wir danken unserem wissenschaftlichen Mitarbeiter Martin Bucerius für die Mitarbeit an diesem Beitrag.

Beschlagnahme von Accounts

Dr. Marc Störing — Mon, 26 Mar 2012 08:29:48 +0000

User-Accounts sind inzwischen Alltag. Egal ob bei On- oder Offline Games – oder natürlich bei Social Media: Accounts bieten viele Funktionen, von der Kommunikation bis hin zur Datenspeicherung. Da war es nur eine Frage der Zeit, bis sich staatliche Ermittler für User-Accounts auf den Servern der Anbieter interessieren. Aber wann müssen sich Anbieter und natürlich auch User den staatlichen Zugriff eigentlich gefallen lassen?

Dazu betritt das Amtsgericht Reutlingen nun Neuland. Das Gericht versucht Zugriff auf Daten aus dem Facebook-Account des Angeklagten zu bekommen. In dem Verfahren wird einem 20-Jährigen vorgeworfen, Beihilfe zu einem Wohnungseinbruchsdiebstahlt begangen zu haben: Der einschlägig Vorbestrafte soll vor rund zwei Jahren in der Tatnacht die Tochter der Wohnungsinhaber ausgeführt und diese dabei mal eben über die Details der Räumlichkeiten befragt haben, die er dann per Facebook-Chat über sein Smartphone dem eigentlichen Haupttäter, der auf ein lohnendes Einbruchsprojekt aus war und später auch getrennt angeklagt wurde, weiter gegeben hat. Hätten die Chat-Inhalte vorgelegen, wäre die Sache schnell geklärt gewesen. Auf dem beschlagnahmten Smartphone des mutmaßlichen Täters war aber nichts (mehr?) zu finden. Den Ermittlern blieb nur der Versuch, direkt über Facebook an das mutmaßliche Beweismaterial zu kommen.

Der Reutlinger Jugendrichter griff deshalb zu einem unüblichen Mittel: Er erließ einen Beschluss, mit dem er die Beschlagnahme der „beim Anbieter Fa. Facebook GmbH“ im Account des Angeklagten gespeicherten zahlreichen „Messages“ sowie „Friends“, „Notes“, „Chats“, „E-Mails“ und „sämtliche Lichtbilder“ anordnete. Obwohl in den Medien vielfach anders kommentiert, handelte es sich in Wahrheit eher um den Versuch, lediglich an bestimmte Kommunikation, aber eben nicht an den Account also solche heranzukommen. Diese Methode mag für ein deutsches Gericht auf den ersten Blick ungewöhnlich erscheinen. Allerdings spricht der für die Sicherstellung maßgebliche Paragraf von „Gegenständen, die als Beweismittel … von Bedeutung sein können“. Der Gesetzgeber ging hier noch von so etwas wie dem blutverschmierten Messer aus. Trotzdem sind unter „Gegenständen“ auch Daten zu verstehen, wie das Bundesverfassungsgericht schon vor einigen Jahren festgestellt hat.

Bei Social-Media-Accounts wird man unschwer erkennen, dass die dort gespeicherten Daten vielfach Teil vergangenen oder aktuellen Nachrichtenaustausches der betroffener Nutzer sind. Dieser wiederum ist verfassungsrechtlich durch das Fernmeldegeheimnis geschützt, die die Kommunikation von Bürgern frei von staatlicher Kontrolle sicherstellen soll. Deshalb können Strafverfolger auf Daten, die dem Fernmeldegeheimnis unterliegen, nur unter verschärften Bedingungen zugreifen. Aber auch in dem Zusammenhang erklärte das BVerfG schon im Jahre 2009, dass bereits gelesene private Nachrichten auf dem Server des Betreibers geschützt sind. Ein Zugriff auf die Daten sei aber unter den eher geringen Anforderungen der klassischen Postbeschlagnahme zulässig. Eben hierauf stütze sich nunmehr auch das Reutlinger Amtsgericht.

Die Beschlagnahme muss aber als staatliche Zwangsmaßnahme verhältnismäßig und ohne Zweifel über dessen Umfang erfolgen. Das Gericht darf somit nicht mehr Daten als nötig beschlagnahmen. Wohl deshalb hat das Reutlinger Gericht versucht, möglichst genau zu schreiben, was es eigentlich haben will:

„Nicht der Beschlagnahme unterliegen Nachrichten („Messages“) und Chatnachrichten, welche ersichtlich nicht an den Angeklagten gerichtet sind oder offensichtlich zu diesem Strafverfahren keinen Bezug oder erkennbar religiöse Inhalte haben, also nicht Nachrichten („Messages“) an oder über die Zeugin Z., die den getrennt verfolgten V. betreffen. Standortdaten, IP-Adressen, religiöse Ansichten oder politische Ansichten sollen nicht erhoben werden.

Damit haben die Betreiber den schwarzen Peter. Sie sind es nämlich, die herausfinden müssen, welche Daten sie genau herausgeben sollen und haben somit quasi stellvertretend für die Staatsgewalt eine Differenzierung der Daten vornehmen. Heikler Weise droht auch ausgerechnet ihnen ein ernstzunehmendes Haftungsrisiko, sollten sie hierbei daneben liegen.

In dem Reutlinger Fall war Adressatin der Beschlagnahme die Hamburger „Fa. Facebook GmbH“, die aber faktisch nicht die Anbieterin des Dienstes ist, weil sie weder die Facebook-Server betreibt, noch nach eigener Aussage auf die darauf gespeicherten Daten zugreifen kann. Das Facebook-Impressum nennt die in Irland beheimatete Facebook Ireland Ltd. als Anbieterin des Dienstes. Deshalb hat das Amtsgericht nun den Weg über das Rechtshilfeersuchen an die irischen Behörden genommen. Übrigens will nun auch der Angeklagte selbst helfen. Er hat selbst hat jetzt seine Daten aus Dublin angefordert.

Der Prozess gegen den 21-Jährigen ging erst vergangene Woche in die nächste Runde. Ergebnis: Weder der Angeklagte selbst, noch das Reutlinger Amtsgericht haben die verlangten Daten bisher erhalten: Die Facebook Irland Ltd. hat bisher den Zugriff auf die in den USA befindlichen Daten verweigert und beruft sich auf US-Gesetze und interne Richtlinien.

Als Reaktion hat das Gericht zum nächsten Verhandlungstermin am 29. März 2012 auch eine Mitarbeiterin von Facebook geladen. Zu welchem Ergebnis ihre mögliche Anwesenheit für das Verfahren führen wird, bleibt abzuwarten.

Unterm Strich bleibt vorerst für die Praxis, dass Gerichte Inhalte aus Accounts beschlagnahmen lassen können. Aber eben nur, soweit sie die strengen gesetzlichen Vorgaben beachten. Gerade die Erfüllung der Anforderungen an die Verhältnismäßigkeit könnte aber künftig die Wirksamkeit so mancher Anordnung scheitern lassen.

Wir danken unserem Mitarbeiter Istvan Fancsik für die Mitarbeit an diesem Beitrag.

Landtag kritisiert Datenschützer im Streit um Facebook [update]

Dr. Marc Störing — Thu, 01 Dec 2011 07:29:10 +0000

Die datenschutzrechtliche Auseinandersetzung zwischen dem schleswig-holsteinischen Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook ist um eine bemerkenswerte Wendung reicher. Der schleswig-holsteinische Landtag hat in einem nun endlich veröffentlichten Gutachten den Standpunkt der landeseigenen Datenschutzbehörde – dem ULD – kritisiert. Allein das wäre wohl schon berichtenswert.

Bemerkenswert ist hier überdies jedoch die Deutlichkeit, mit der das Parlament den juristischen Standpunkt der Behörde als kaum haltbar beschreibt. Zwar hatte auch bereits eine vom Wissenschaftlichen Dienst des Bundestages erstellte Ausarbeitung die juristische Auseinandersetzung zwischen dem beliebten Social Network und der deutschen Landesbehörde beleuchtet. Doch das Ergebnis war jedoch weit weniger kraftvoll: Zu einer konkreten Empfehlung für Website-Betreiber zur Verwendung bzw. Nichtverwendung der verbreiteten Facebook-Plugins konnten sich die Verfasser des Gutachtens nicht durchringen.

Deshalb sind es die Ausführungen aus Schleswig Holstein, die nun in zwar sehr nüchterner aber eben doch auch sehr deutlicher Sprache den Standpunkt der eigenen Landesbehörde kritisieren. Eine zentrale Passage lautet etwa:

Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Auch sonst stellen die Verfasser fest, dass es sich bei der Auffassung des ULD um

eine im Ergebnis vertretbare, aber äußerst umstrittene Position handelt, deren Erfolgsaussichten unter Zugrundelegung der bisherigen Rechtsprechung und der im Schrifttum vorherrschenden Ansichten vom Wissenschaftlichen Dienst als gering eingeschätzt werden.

Eine angenehm sachliche wie deutliche juristische Analyse. Im Streitfall ist letztlich nicht die Auffassung der jeweiligen Landesdatenschutzbehörde, sondern der zuständigen Gerichte maßgeblich. Die nun veröffentlichten Ausführungen des Landtages verdeutlichen einmal mehr, dass für betroffene Unternehmen, die sich mit und/oder auf Facebook oder Google+ präsentieren, die Chancen gut stehen, sich vor Gericht gegen ein datenschutzbehördliches Vorgehen erfolgreich wehren zu können. Der Einsatz von Facebook oder Google+ ist also weniger riskant, als es die derzeitige Aufregung um die extreme Sichtweise der Behörden vermuten lässt.

Wendung bei Google Analytics – „beanstandungsfrei“ einsetzbar – irgendwie jedenfalls

Dr. Marc Störing — Tue, 27 Sep 2011 13:37:36 +0000

Die weit über zweijährige Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics ist beendet und erinnert an das Hornberger Schießen. „Beanstandungsfrei“ können Webseitenbetreiber den Dienst einsetzen, wenn sie ein bestimmtes Verfahren beachten. Das ist das Ergebnis langer Gespräche des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Auftrag des Düsseldorfer Kreises mit dem Dienstanbieter Google.

Die Kurzform dessen, was zu tun ist: Man nehme eine neue Zeile Code, lösche Daten und tausche vor allem einen Haufen Papier aus. Fertig ist der „beanstandungsfreie Betrieb“. Oder noch kürzer: Es wird kompliziert, aber nicht sinnvoll.

Anforderungen an einen beanstandungsfreien Betrieb

Wichtig ist, dass der Dienst keinesfalls nun per se bedenkenlos eingesetzt werden kann. Vielmehr ist ein kompliziert anmutendes Procedere vorab erforderlich.

Webseitenbetreiber, die Google Analytics einsetzen wollen, müssen mit Google Inc. einen Vertrag schriftlich (also mit Unterschrift auf Papier) abschließen. Dieser Vertrag beinhaltet im Kern folgende Punkte:

Webseitenbetreiber klären Nutzer ihrer Websites in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten durch Google Analytics auf und weisen auf eine Widerspruchsmöglichkeit hin. Den Widerspruch gegen die Erfassung personenbezogener Daten kann der Nutzer durch Betätigung eines Deaktivierungs-Add-On erklären.
Webseitenbetreiber können durch Aktivierung der IP-Masken-Funktion die nachträgliche Identifizierung des Nutzers ausschließen. Die Funktion verhindert die standardmäßige Verwendung der vollen IP-Adresse der Nutzer bei Analyseerstellung, indem sie den letzten Bestandteil der IP-Adresse des jeweiligen Besuchers vor Verwendung und Speicherung entfernt.
Webseitenbetreiber müssen die vorformulierte Datenschutzerklärung verwenden, welche auf die Kürzung der IP-Adresse hinweist. Die Anonymisierung ist auf den Geltungsbereich der EU oder anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum beschränkt. Nur in Ausnahmefällen erfolgt die Übertragung der vollen IP-Adresse an Google in den USA.
Webseitenbetreiber gelten beim Umgang mit den Daten der Seitenbesucher als Auftraggeber und Google als Auftragsdatenverarbeiter im Sinne des BDSG (dazu im Folgenden mehr).

Bedeutung für Webseitenbetreiber

Durch die Unterzeichnung des Vertragstextes erteilen die Webseitenbetreiber also einen Auftrag zur Datenverarbeitung nach § 11 BDSG. Aber was bedeutet das eigentlich für sie?

Wichtigste Folge ist die fortgesetzte Pflicht des Auftraggebers, also des Webseitenbetreibers, den Auftragnehmer, also Google, regelmäßig auf die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überprüfen. Die Ergebnisse dieser Überprüfung muss der Webseitenbetreiber auch dokumentieren.

Die Idee mutet merkwürdig an, aber tatsächlich hat sich die Google, Inc. nun von jedem Seitenbetreiber, der Google Analytics einsetzt, regelmäßig überprüfen zu lassen. Google hat sich dazu ein Verfahren ausgedacht, wonach der Webseitenbetreiber vorformulierte schriftliche Ausführungen von einem Wirtschaftsprüfer erhält.

Webseitenanbieter sichern mit Vertragsschluss Google zu, die Google Analytics Nutzungsbedingungen einzuhalten. Wie sie u.a. der Bedingung nachkommen, die aus Analytics erhobenen Daten getrennt von anderen personenbezogenen Daten bereitzuhalten, bleibt allerdings ihrem eigenen technischen Know-how überlassen. Besonders vor dem Hintergrund, dass Webseitenbetreiber durch die Vertragsunterzeichnung eine Haftungsübernahme für sämtliche Schäden durch eine vertrags- bzw. gesetzeswidrige Nutzung der Daten erklären, ist den Webseitenbetreibern daher eine gewissenhafte und erfindungsreiche Befolgung der Nutzungsbedingungen anzuraten.

Schließlich nimmt sich Google das Recht heraus, die derzeit kostenlose Nutzung des Dienstes, von „Zeit zu Zeit“ einseitig ändern zu dürfen. Ratsam ist es daher, von „Zeit zu Zeit“ auch die Webseite http://www.google.com/analytics auf eine Änderung der Zahlungsbedingungen zu checken. Ein fortgesetzter Gebrauch des Dienstes durch den Webseitenbetreiber nach einer Bekanntgabe neuer Zahlungsmodalitäten auf der Webseite gilt nämlich als Annahme der Änderungen.

Fazit

Google Analytics ist nutzbar. Irgendwie, und jedenfalls nicht einfach so, sondern mit einem irritierenden Aufwand.

Die nun behördlich abgesegnete Lösung mutet deshalb seltsam an. Sowohl Webseitenbetreiber als auch Google selbst müssen sich nun durch einen ritualisierten Austausch von immer gleichen Verträgen und Prüfberichten in Papierform quälen.

Gerade diese Schriftform ist ein typischer Datenschutzanachronismus. Das Verfahren mutet also bloße Förmelei an, in der als konstruktiver Ansatz bestenfalls die Errichtung einer gewissen Hemmschwelle für die Webseitenbetreiber gesehen werden kann.

Weder der Datenschutz, noch die Webseitenbetreiber, noch Google selbst dürften über die Lösung jubeln. Allenfalls für Datenschutzexperten ist schließlich der Weg über eine sog. Auftragsdatenverarbeitung mit einem in den USA beheimateten Unternehmen interessant. Denn zwar kann ein solcher Vertrag durchaus weltweit abgeschlossen werden. Aber die typischerweise mit dem Vertragsschluss bezweckte Regelung der Verantwortlichkeit ist nur innerhalb von EU / EWR sinnvoll.

Herzlichen Dank an unsere wissenschaftliche Mitarbeiterin Alexandra Heliosch für die Mitarbeit an diesem Beitrag!

Mitteilungspflicht bei Datenlecks

Dr. Marc Störing — Mon, 06 Jun 2011 06:20:13 +0000

Einbruch in das Playstation-Netzwerk bei Sony und Verlust von Millionen Spielekundendaten, Hack des auf IT-Sicherheit spezialisierten Unternehmens RSA, daraufhin Cyber-Attacken auf RSA-Kunde Lockheed-Martin, chinesischer E-Mail Diebstahl bei Morgan Stanley, angeblich Passwort-System von Googles Handy-Betriebssystem geknackt … Die Serie der Datenpannen bei international agierenden Großunternehmen scheint nicht abzureißen; die Aufmerksamkeit der Medien war nie größer. Aber was sind die rechtlichen Folgen?

Der Verlust von Kundendaten bedeutet in aller Regel einen beträchtlichen Imageschaden für das Unternehmen. Es ist dann die Rede von einem PR-Desaster, und die Seriosität des Unternehmens wird angezweifelt. Sogar ein Umsatzrückgang kann die Folge sein. So kostete der Hackerangriff auf das Playstation-Netzwerk Sony laut eigenen Angaben 1,3 Milliarden Euro, teilweise schätzen Analysten den Schaden sogar noch höher.

Angesicht solch verheerender Nachwirkungen dürfte die Versuchung bei Unternehmen groß sein, eventuelle Datenlecks zu verheimlichen.

Doch aufgepasst: Seit 1. September 2009 besteht gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) eine ausdrückliche Verpflichtung zur Information der Betroffenen (Kunden, Mitarbeiter …) und Datenschutzbehörden im Falle von Datenverlusten!

Unternehmen müssen also sich selbst als Datensünder an den Pranger stellen. Bei einem Verstoß drohen Bußgelder bis zu 300.000 Euro.

Wann besteht eine Mitteilungspflicht?

Trotzdem besteht die Mitteilungspflicht nicht in jedem Fall eines Datenlecks. Vielmehr besteht eine solche Pflicht nur bei Verlust bestimmter Datentypen. Im Einzelnen sind dies:

Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, eine eventuelle Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben
Informationen, die einem Berufsgeheimnis unterliegen (Anwaltsdaten, ärztliche Daten etc.)
Strafrechtlich relevante Daten
Daten zu Bank- und Kreditkartenkonten

Wichtig ist, dass die Pflicht auch nur gilt, wenn die Daten personenbezogen sind, d.h. mit einer konkreten Person in Verbindung gebracht werden können. Handelt es sich um vollständig anonymisierte Daten, besteht kein Risiko für die Betroffenen. Folglich existiert keine Mitteilungspflicht. Bei verschlüsselten Daten kommt es darauf an, ob eine Entschlüsselung für Dritte realistisch möglich ist.

Außerdem besteht die Mitteilungspflicht nicht schon beim bloßen Verlust von Daten. Vielmehr muss das Unternehmen dann auch feststellen, dass tatsächlich Dritte Kenntnis von den Daten erlangt haben. Auch das ist in der Praxis eine wichtige Einschränkung.

Zwar ist laut Gesetz weiterhin eine „schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen“ notwendig. Die sperrige Wendung macht es schon deutlich: Hier ist eine Abwägung im Einzelfall erforderlich.

Wem muss was mitgeteilt werden?

Worst Case. Rien ne va plus. Jemand hat sich tatsächlich Zugriff auf die genannten Daten verschafft. Was tun?

Gesetzliche Pflicht ist eine sofortige persönliche Benachrichtigung der Betroffenen und der zuständigen Datenschutzbehörde, d.h. des jeweiligen Landesdatenschutzbeauftragten. Sollten, wie im Falle Sony, eine Vielzahl von Personen betroffen oder deren Kontaktdaten nicht bekannt und die persönliche Benachrichtigung daher mit unverhältnismäßigem Aufwand verbunden sein, kann sie durch eine Information der Öffentlichkeit in Form einer halbseitigen Anzeige in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine zur Information der Betroffenen ebenso geeignete Maßnahme ersetzt werden. Die Pflicht zur gesonderten Informierung der Datenschutzbehörden bleibt bestehen.

Die Betroffenen müssen bei der Benachrichtigung darüber informiert werden, auf welche Weise die Daten in fremde Hände gelangt sind und wie etwaige „nachteilige Folgen“ gemildert werden können. In der Benachrichtigung der Behörde müssen auch noch die möglichen nachteiligen Folgen und die daraufhin vom Unternehmen getroffenen Maßnahmen konkret benannt werden.

Sicherheit und Aufklärung gehen vor

Aber: Das Unternehmen darf vielleicht mit der Benachrichtigung warten. Nämlich dann, wenn eine sofortige Benachrichtigung die Aufklärung des Sachverhalts oder den schnellstmöglichen Schließen der Sicherheitslücke behindern würden. So soll insbesondere verhindert werden, dass das bereits bestehende Datenleck weiteren Dritten eine einfache Angriffsfläche bietet. Weil die Behörden aber einer gesetzlichen Verschwiegenheitspflicht unterliegen, sind sie immer sofort nach Feststellung einer Drittkenntnisnahme zu informieren. Mit diesen Sicherheits- und Aufklärungserwägungen kann sich also ein Unternehmen niemals herausreden, wenn es völlig passiv geblieben ist.

Was bedeutet das für mein Unternehmen?

Ein Datenverlust ist neben dem Imageschaden auch ein rechtliches Problem. Pflichten können entstehen und bei deren Nichtbeachtung können Bußgelder zu 300.000 Euro anfallen. In der Aufarbeitung reicht also keine ausgefeilte Unternehmenskommunikation. Vielmehr ist eine datenschutzrechtlich korrekte Handhabung der Situation erforderlich. Ob eine Mitteilungspflicht besteht, kann nur nach sorgfältiger rechtlicher Prüfung festgestellt werden. Verschiedene Anknüpfungspunkte existieren dabei, um jedenfalls die unangenehme Mitteilungspflicht an Betroffene oder die Öffentlichkeit zu umgehen oder hinauszuzögern.

Privacy = So Eighties?

Dr. Marc Störing — Tue, 19 Apr 2011 12:52:00 +0000

Spätestens seit Veröffentlichung der Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zum Datenschutz in Onlinespielen ist bekannt, dass auch die staatlichen Datenschutzwächter die (Online-)spieleindustrie auf dem radar haben. Die ist Anlass genug, um – zugegeben etwas allgemeiner – zu fragen, obder Datenschutz in seiner derzeitigen gesetzlichen Ausgestaltung noch zeitgemäß ist? Wer als Anwalt im Bereich des Datenschutzes berät, merkt vor allem eines: Der Beratungsbedarf nimmt sehr stark zu. War Datenschutz noch vor wenigen Jahren selten mehr als ein Thema für den akademischen Elfenbeinturm, sind heute die Anstrengungen der Unternehmen zur Erreichung von datenschutzrechtlicher Compliance groß. Doch je ernster die Wirtschaft den Datenschutz nimmt, desto deutlicher wird seine kaum erfüllbare und aus heutiger Sicht vielleicht überholt wirkende Prämisse, nach der der Einzelne der Herr seiner Daten sein soll. Tatsächlich formieren sich inzwischen sogar Bewegungen, die gegen den Schutz der Daten des Einzelnen zu Felde ziehen und eine Epoche der Post-Privacy ausrufen

Geburtsstunde des Datenschutzes

Seinen Anfang nahm der Datenschutz mit dem sogenannten Volkszählungsurteil (BVerfGE 65,1 ff.) des Bundesverfassungsgerichts (BVerfG). Den Verfassungsbeschwerden gegen die für das Jahr 1984 geplante Volkszählung gab das Gericht statt. Die Karlsruher Verfassungshüter erfanden in ihrem Urteil ein neues Grundrecht auf Datenschutz: das Recht der informationellen Selbstbestimmung. Dazu kombinierte das Gericht zwei Annahmen:

1. In der vernetzen Welt droht der Verlust über die Kontrolle über unserer Daten.

[Die Entscheidung über den fremden Umgang mit den eigenen Daten] ist vor allem deshalb gefährdet, weil bei Entscheidungsprozessen nicht mehr wie früher auf manuell zusammengetragene Karteien und Akten zurückgegriffen werden muß, vielmehr heute mit Hilfe der automatischen Datenverarbeitung Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar sind. Sie können darüber hinaus – vor allem beim Aufbau integrierter Informationssysteme – mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann.

2. Dieser Kontrollverlust würde uns hemmen und damit der Gesellschaft schaden.

Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.“

Die Annahmen aus heutiger Sicht

Der erste Schritt – die Realisierung der Gefahr des Kontrollverlustes – war eine treffende Vorausschau des Bundesverfassungsgerichtes schon zu Beginn der 1980‘er Jahre in die erst später durch und durch digitalisierte Welt. Aber war möglicherweise der zweite Schritt eine Fehleinschätzung: Ja, wir haben die Kontrolle über unsere Daten verloren, aber nein, das hemmt uns aber nicht?

Tatsächlich war jedenfalls das Bürgerbild, welches der BVerfG-Entscheidung zugrunde lag, der politisch interessierte und emanzipierte Bürger. In einer Zeit voller Demonstrationen gegen staatliches Treiben wie NATO Doppelbeschluss, Brokdorf, Wackersdorf und die Startbahn West erschien Teilen der Gesellschaft ihr Staat wenig vertrauenswürdig. Da musste es Widerstand gegen die staatliche Datenerfassung in Form einer Volkszählung geben. Der Bürger ist heute hingegen politisch weniger interessiert. Datenschutz ist als Abwehrrecht gegen den Staat nicht mehr sehr gefragt.

Auch sieht der Bürger heute auch einen Nutzen in der fremden Verwendung seiner Daten: Es agiert ja eher die Privatwirtschaft mit den Daten der Gesellschaft. Die Bürger empfinden aber diese privaten Unternehmen noch weniger als Bedrohung: Google ist ein Must-Have, Facebook eine nette Sache mit all den Freunden, und Amazon mitsamt seinen passenden Empfehlungen im Alltag richtig praktisch.

Ist der Bürger also bereit, den Kontrollverlust über seine Daten als Preis für die Nutzung der hilfreichen Medien zu akzeptieren? Die größeren Datenskandale der letzten Jahre waren für die betroffenen Unternehmen sehr unangenehm. Aber nicht unbedingt für die betroffenen Einzelpersonen. Und verliert jemand aufgrund von Facebook-Fotos seinen Job, ist das eine nette Fußnote aber kein grundsätzliches Problem. Kurz: Datennutzung durch Unternehmen tut nicht weh.

Quo vadis Datenschutz?

Braucht der Datenschutz eine Korrektur? Weil er zu streng ist? Ist das grundsätzliche Verbot (mit Erlaubnisvorbehalt), fremde Daten zu erheben und verarbeiten noch haltbar?

Bemerkenswerterweise steuert der Gesetzgeber derzeit jedenfalls in die entgegengesetzte Richtung: Die Obergrenzen für Bußgelder bei Datenschutzverstößen wurden erhöht auf stattliche EUR 50.000,00 und EUR 300.000,00; die Anforderungen an die sogenannte Auftragsdatenverarbeitung, ein wichtiges Tool für Outsourcings, sind stark verschärft.

Nun geht der Gesetzgeber noch weiter: In der geplanten Neuregelung zum Datenschutz von Beschäftigten soll das Bundesdatenschutzgesetz (BDSG) die Möglichkeit einschränken, dass sich Betroffene per Einwilligung mit der Verarbeitung ihrer Daten bereit erklären. Selbst wenn also Personen damit unverstanden wären, dürften ihre Daten nicht verarbeitet werden.

Aber ging es nicht genau darum: Selbstbestimmung als Recht? Der Betroffene soll selbst bestimmen dürfen, ob, wie und wann seine Daten von Dritten verwendet werden. Tatsächlich hatte das Bundesverfassungsgericht seinerzeit ein Recht entworfen, welches die Möglichkeit vorsah, seine Daten vertraulich zu halten; oder aber darüber zu verfügen. Allein für den Fall, dass die persönlichen Daten vertraulich bleiben sollten, war ein rechtlicher Rahmen erforderlich – der Datenschutz.

Selbstbestimmung oder Datenschutzpflicht?

Heute zeigt sich, dass ein großer Teil der Gesellschaft eher frei über seine Daten verfügen möchte. Dem muss der Datenschutz Rechnung tragen und die Selbstbestimmung der Nutzer respektieren. Der Gesetzgeber aber verschärft derzeit den Datenschutz immer weiter, nun sogar hinein zu einer Art Zwangsbeglückung der Betroffenen.

Vielleicht ist der Datenschutz noch nicht „so Eighties“ . Aber der Datenschutz darf nicht zum Selbstzweck werden. Der Datenschutz muss so weit vorhanden sein, wie ihn die Bedürfnisse der Bevölkerung erforderlich machen. Aber der Bürger ist nicht dafür da, um es dem Datenschutz recht zu machen.

BGH: „Kommando zurück“ bei Softwarepatenten

Dr. Marc Störing — Wed, 06 Apr 2011 08:55:45 +0000

Softwarepatente sind längst nicht so einfach zu erlangen, wie von vielen Beobachtern zuletzt nach einer Entscheidung des Bundesgerichtshofs (BGH) im April 2010 gedacht. In einer neuen, jetzt veröffentlichten Entscheidung schränkt das höchste deutsche Zivilgericht die zunächst einfach erscheinende Patentierbarkeit von Software deutlich ein.

Eine Patentanmeldung von Siemens, mit der sich der Konzern Patentschutz für eine Client-Server-Struktur zur „dynamischen Generierung strukturierter Dokumente“ sichern wollte, beschäftigte im April vergangenen Jahres den BGH.

Obwohl das Patentgesetz in Deutschland eigentlich „Computerprogramme“ vom Patentschutz ausnimmt, sah das höchste deutsche Zivilgericht die Softwarelösung von Siemens nicht von vorneherein vom Patentschutz ausgeschlossen an und sorgte mit der Begründung für Aufsehen. Denn auch wenn die Patentierbarkeit von reiner Software ausgeschlossen sei, so ist ein Computer per se ein technisches Gerät. Und deshalb sei Software, die „auf die technischen Gegebenheiten der Datenverarbeitungsanlage Rücksicht nimmt“, grundsätzlich ein technisches Mittel zur Lösung eines technischen Problems. Und damit grundsätzlich patentfähig.

Zwar komme es eigentlich auf den technischen Charakter einer zum Patent angemeldeten Lösung an. Diese so genannten Technizität einer Erfindung erschien seinerzeit aber im Urteil des BGH als bedeutungslos. Denn beachtet ein Entwickler etwa, dass seine Software nicht mehr Speicher reserviert, als der Rechner bietet, nimmt die Software schon „Rücksicht auf die technischen Gegebenheiten der Datenverarbeitungsanlage”. Nur ein plattformunabhängiger Code ohne direkte Steuerung jeglicher Hardware würde diese Voraussetzungen nicht erfüllen.

Wenn hingegen wäre die Software grundsätzlich patentierbar, wenn der Softwareentwickler handwerklich sauber arbeitet und bei der Gestaltung einer Software auf die verwendete Hardware und ihre Grenzen eingeht. Im Einzelfall käme es dann nur noch darauf an, ob die Software die üblichen weiteren Voraussetzungen für einen Patentschutz erfüllt, also „neu“ und „erfinderisch“ ist.

Neue Entscheidung

In einem ganz neuen Licht steht nun aber die Patentierbarkeit von Software, nachdem der BGH jetzt ein Urteil veröffentlich hat, welches er bereits im Oktober 2010 – also einige Monate nach der oben beschriebenen Entscheidung – gefällt hatte (BGH, Urteil vom 26. Oktober 2010, Aktenzeichen X ZR 47/07).

Die prozessuale Konstellation war nun anders: Der BGH hatte in einem Patentnichtigkeitsverfahren zu entscheiden. Es ging also um die Frage, ob ein existierendes Patent zu Unrecht gewährt wurde. Das angegriffene Patent betraf zusammengefasst ein Verfahren zur dreidimensionalen Kartendarstellung in Kfz-Navis. Das Gerichtsverfahren trägt deshalb den Namen „Wiedergabe topografischer Informationen“.

Ein Verfahren zur Auswahl und Wiedergabe von Informationen, also eine weitgehend reine Softwarelösung, war der Kern des angegriffenen Patents. Ein technischer Bezug existierte nur am Rande: Die Ermittlung der Fahrzeugposition und der Bewegungsrichtung. Diese Positions- und Richtungsbestimmung war zwar eindeutig technisch, aber ebenso eindeutig nicht neu. Andererseits war aber eben die Softwarelösung einer dreidimensionalen Darstellung neu und erfinderisch.

Genau solche Patentanmeldungen, deren technischer Charakter zwar nicht insgesamt, aber zumindest in Bezug auf einzelne Elemente infrage gestellt werden könnte, sorgen schon lange für Diskussionen. Wenn ein Patent technisch, neu und erfinderisch sein muss, was gilt, wenn neu und / oder erfinderisch nur jene Teile sind, die nicht technisch sind? Diese Frage war nun Kern der neuen Entscheidung des Bundesgerichtshofs.

Bedeutung der neuen Entscheidung

Es ging also nicht ausdrücklich um Softwarepatente. Aber die Entscheidung des Gerichts ist dennoch eine klare Absage in diese Richtung. Denn der BGH urteilte, dass untechnische Merkmale bei der Beurteilung der erfinderischen Tätigkeit ausscheiden. Soweit also die Erfindung aus einer Softwarelösung bestehe, bleibe diese Softwarelösung für die Merkmale „neu“ und „erfinderisch“ unbeachtet. Denn die Software mag noch so innovativ sein – sie ist nach Auffassung der Karlsruher Richter nicht technisch und deshalb für den Patentschutz unbeachtlich. Das Patent war nach Auffassung der Karlsruher Richter deshalb nichtig.

In der älteren Entscheidung vom April 2010 hatte das Gericht nur über das ausdrückliche Patentverbot von Software entschieden, aber gerade nicht über die Frage, ob die konkrete Erfindung auch „neu“ und „erfinderisch“ war und welche Maßstäbe dabei eigentlich gelten. Als Folge der Entscheidung aus dem April erschienen Softwarepatente möglich.

Nun stellt der BGH für eben jene, im April nicht behandelten Anforderungen die Hürden in einer solchen Weise, dass reine Softwarepatente eben doch keine Chance haben. Interessanterweise zitiert der BGH dabei seine frühere Entscheidung aus dem April 2010 und bekräftigt indirekt noch einmal die dort vorgenommene Relativierung des Verbotes von Softwarepatenten. Jenes Verbot in § 1 PatG stelle „nur eine Art Grobsichtung“ dar. Die wahre Weichenstellung soll also erst in den nun diskutierten Merkmalen liegen.

Ausblick

Der BGH stellt also beide Entscheidungen in eine inhaltliche, thematische Linie. Aber ein Widerspruch könnte dennoch zwischen den beiden Entscheidungen liegen. Denn warum eigentlich sieht der BGH jetzt Software doch nicht als technisch an? Hätte das Gericht nicht konsequenterweise nach der Entscheidung aus dem April 2010 jetzt die Software zur 3D-Darstellung als technische Lösung ansehen müssen? Und hätte dann nicht die Software eben doch bei der Frage berücksichtigt werden müssen, ob die angemeldete Erfindung insgesamt „neu“ und „erfinderisch“ ist?

Entweder also hat die Mehrzahl der Beobachter die frühere Entscheidung aus dem April 2010 falsch verstanden – was zumindest den Eindruck nahe legt, das Gericht habe sich in den technischen Überlegungen nicht klar genug ausgedrückt. Oder aber der BGH ist nun doch von seiner früheren Linie wieder abgerückt – ohne eine Kurskorrektur einräumen zu wollen.

Nur eine weitere Entscheidung wird wohl Klarheit verschaffen. Solange bleibt die Situation damit spannend. In der Praxis hängt das Schicksal eines Patentantrages ohnehin stark von der konkreten Formulierung ab.

Special: Patentschutz für Computerspiele

Dr. Marc Störing — Sun, 27 Feb 2011 13:09:28 +0000

Jetzt bei unseren Specials:

Bisher konnten nur Hardwarehersteller Patentschutz für ihre Geräte beantragen. Nintendo & Co sichern deshalb Eingabegeräte oder ganze Spielekonsolen durch eine Vielzahl von Patenten ab. Hingegen hat das Deutsche Patent- und Markenamt bisher Patente auf reine Software in Deutschland nicht erteilt. Doch nun hat der Bundesgerichtshof (BGH) als höchstes deutsches Zivilgericht in gleich zwei Entscheidungen praktisch die Möglichkeit eröffnet, auch Software patentieren zu lassen. Wir erläutern die Hintergründe und Konsequenzen.

[Hier weiterlesen]

IP-Adressen und (noch immer) der Datenschutz

Dr. Marc Störing — Wed, 24 Nov 2010 07:00:35 +0000

So allgegenwärtig IP-Adressen in der vernetzten, digitalen Welt auch sind – die Rechtsordnung tut sich bis heute schwer mit dem datenschutzrechtlichen Verständnis von IP-Adressen. Nun bringen zwei aktuelle Gerichtsentscheidungen neuen und erfreulichen Schwung in die zuletzt ins Stocken geratene Diskussion.

Sinn und Zweck des Datenschutzes

Der Datenschutz ist kein Schutz von Daten, sondern ein Schutz vor Daten. Privatpersonen sollen vor der unkontrollierten Verwendung ihrer Daten geschützt sein. Dazu schränken das Bundesdatenschutzgesetz (BDSG), aber etwa auch das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG) den Umgang mit solchen Daten ein, die auf eine Person bezogen sind oder teilweise auch nur bezogen werden können: Nur wenn der Betroffene ausdrücklich einwilligt oder ein Gesetz dies im Einzelfall erlaubt, dürfen etwa Unternehmen oder auch Webseitenbetreiber personenbezogene Daten nutzen. Fragt sich nur, was als solche personenbezogenen Daten gilt. Konkret: Sind IP-Adressen personenbezogene Daten?

Die Frage ist alt und zielt auf die Frage der “Beziehbarkeit” ab. Natürlich kann einer IP-Adresse nicht der dahinterstehende Surfer angesehen werden. Aber wenn eine Webseite eine Log-in-Möglichkeit bietet, etwa für Bestellungen oder auch nur Gästebucheinträge, so kann der Betreiber die Identität des hinter dem meist dynamisch vergebenen Zahlenbergs erkennen. Spätestens im Zusammenschluss mit dem Access-Provider lässt sich eine IP-Adresse einer Person, nämlich dem Anschlussinhaber, zuordnen. IP-Adressen können also auf Personen bezogen werden. Nur kann dies mitunter ein schwieriges Unterfangen werden. Übrigens nicht nur technisch, sondern auch rechtlich: Access-Provider dürfen nur in engen Ausnahmefällen Auskunft über den Anschlussinhaber einer IP-Adresse geben.

Zankapfel Personenbezug

Aber sollen angesichts dieser Schwierigkeiten IP-Adressen immer noch als personenbezogene Daten geschützt werden? Letztlich kann beinahe jede Information mit beliebig großem Aufwand auf eine Person bezogen werden, trotzdem soll aber der Datenschutz nicht uferlos sein. Deshalb verlangt das Merkmal der “Beziehbarkeit” ein gewisses Augenmaß. So weit, so unstreitig.

Welches Augenmaß nun aber ganz allgemein für die Beziehbarkeit gelten soll, ist unklar. Tatsächlich hat schon der Gesetzgeber die Frage gesehen und … keine Antwort gewusst. Jedenfalls hat er ausdrücklich keine geben wollen. Gerichte und Rechtsgelehrte sollten die Frage klären.

IP-Adressen und kein Ende

Für viele Bereiche des Alltags hat sich inzwischen jeweils eine Antwort auf die Frage gefunden. Ausgerechnet aber für IP-Adressen nicht. Dabei ist die Frage relevant: Soll ein Personenbezug anzunehmen sein, müssen die Einschränkungen des Datenschutzes beachtet werden: IP-Adressen dürften nicht mehr beliebig erhoben und gespeichert werden. Genau das ist aber bis heute Alltag auf fast jedem Server: entweder mit eigenen Logs oder durch Einsatz eines Tracking-Tools wie Google Analytics auf der entsprechenden Webseite. Die verantwortlichen Seitenbetreiber begehen also – je nach Antwort auf die Frage – einen Datenschutzverstoß und müssen ein Bußgeld fürchten, oder eben nicht.

Vielbeachtet hatten sich das Amtsgericht (AG) Berlin-Mitte (Urteil vom 27.03.2007, Az 5C 314/06) und das Amtsgericht München (Urteil vom 30.09.2008, Az. 133 C 5677/08) mit der Frage beschäftigt. Und dabei genau entgegengesetzt entschieden: IP-Adressen sollen nach Berliner Lesart personenbezogene Daten sein, also dem Datenschutz unterfallen. In München hingegen sah man das anders, und der zuständige Amtsrichter entschied genau entgegengesetzt.

Klar äußerte sich dann der sogenannte Düsseldorfer Kreis. Die Landesdatenschutzbeauftragten der einzelnen Bundesländer stimmen sich in dem informellen Gremium über gemeinsame Standpunkte ab. Und in puncto IP-Adressen machte der Düsseldorfer Kreis seinen Standpunkt deutlich: IP-Adressen sind personenbezogene Daten, und insbesondere Google Analytics ist deshalb mit deutschem Datenschutzrecht unvereinbar. Ein Standpunkt, der längst nicht jeden Rechtsgelehrten überzeugt hat. Aber zumindest doch eine klare Ansage, und zunächst einmal sind es ja eben jene Landesdatenschutzbeauftragten, die die Bußgelder verhängen. In die Diskussion kehrte deshalb Ruhe ein.

Aktuelle Gerichtsentscheidungen

Doch nun melden sich gleich zwei Gerichte zu Wort. Und jedenfalls wenn sich ein Webseitenbetreiber gegen ein verhängtes Bußgeld wehrt, werden Gerichte entscheiden.

Das Landgericht (LG) Wuppertal hatte einen latent grotesken Fall des Schwarzsurfens über ein offenes WLAN zu entscheiden. Die Richter lehnten alle in Frage kommenden Tatbestände ab und sahen keine Strafbarkeit (Beschluss vom 19.10.2010, Az. 25 Qs 177/10). In den Tiefen des Urteils finden sich auch ebenso knappe wie bemerkenswerte Ausführungen dazu, dass IP-Adressen keine personenbezogenen Daten sind. Anderenfalls hätte eine Strafbarkeit wegen des unbefugten Abrufens oder Sich-Verschaffens personenbezogener Daten vorgelegen. In dem unüblichen Rahmen der Strafbarkeitsfrage trifft das Gericht eine klare Aussage.

Noch deutlicher nun das Oberlandesgericht (OLG) Hamburg. In der Auseinandersetzung um die Strafverfolgung in Tauschbörsen durch das Unternehmen Logistep sahen die Hamburger Richter keine datenschutzrechtlichen Bedenken (Beschluss vom 3.11.2010, Az. 5 W 126/10): Indem das Unternehmen IP-Adressen von schwarzen Tausch-Schafen für deren Überführung nutze, begehe Logistep keinen Datenschutzverstoß. Denn “bei den ermittelten IP-Adressen könne “ein Personenbezug mit normalen Mitteln […] nicht hergestellt werden“. Kurz: Auch nach hanseatischer Auffassung unterfallen IP-Adressen nicht dem Datenschutz.

Fazit

Ob IP-Adressen personenbezogene Daten darstellen, ist leider immer noch nicht geklärt. Aber gegenüber dem ebenso klaren wie strengen Standpunkt des Düsseldorfer Kreises zeichnet sich nun die entgegengesetzte Tendenz in der Rechtsprechung ab. Mehrfach haben Gerichte IP-Adressen mit dem Datenschutz gerade nicht in Verbindung gebracht.

Für Webseitenbetreiber ergibt sich damit kaum ein eindeutiges Bild. Wer jede Diskussion vermeiden möchte, sollte auf Logging und insbesondere unzulässige Tracking-Tools verzichten. Gerade letztere Tools sind auch für jeden versierten Besucher erkennbar, und nur ganz wenige Tracker sind auch nach Zugrundelegung der Kriterien des Düsseldorfer Kreises zulässig.

Wer hingegen auf die Speicherung von IP-Adressen nicht verzichten will oder kann, riskiert damit möglicherweise ein Bußgeld. Aber die Chancen stehen derzeit vergleichsweise gut, sich vor Gericht dagegen wehren zu können. Eben weil Gerichte möglicherweise auf IP-Adressen nicht die Vorgaben des Datenschutzes anwenden.

Aufgepasst – Softwarepatente sind da!

Dr. Marc Störing — Fri, 04 Jun 2010 08:00:30 +0000

Der Startschuss ist gefallen! Ab sofort sind Patente auf Softwarelösungen in Deutschland möglich. Entwicklern steht damit die Option offen, weit über den automatischen Schutz des Urheberrechts hinaus ihre Lösungen durch Beantragung eines Patentes abzusichern. Gleichzeitig aber müssen Entwickler nun auch fremde Softwarepatente beachten. Und das ist eine anspruchsvolle Herausforderung. Für Spieleentwickler stellen sich besonders spannende Fragen.

Pro und Contra

Schon lange sind Softwarepatente umstritten: Müssen nicht Erfindungen im Bereich von Software ebenso wie andere, technische Erfindungen geschützt werden können? Softwarepatente als notwendiger Investitionsschutz für die digitale Gesellschaft? Oder droht die Gefahr einer Monopolisierung von bloßen Ideen? Werden Entwickler überfordert sein, sich geschickt über das Minenfeld fremder Softwarepatente zu bewegen?

Nach großer Kontroverse scheiterte vor einigen Jahren eine EG-Richtlinie, die Softwarepatente ermöglichen sollte. Heute schließen deshalb sowohl Paragraf 1 des deutschen Patentgesetzes wie auch Artikel 52 des Europäischen Patentübereinkommens „Programme für Datenverarbeitungsanlagen“ beziehungsweise Software „als solche“ von der Patentierbarkeit ausdrücklich aus. Das Patentrecht sieht einen Schutz für technische Lösungen eines technischen Problems vor. Aber nach dem Willen des Gesetzgebers soll reine Software nicht patentierbar sein.

Wo aber die Grenze zwischen Software „als solcher“ einerseits und der technischen Lösung eines technischen Problems andererseits verlaufen soll, haben Gerichte zu entscheiden. Und tatsächlich hat jetzt der Bundesgerichtshof (BGH) als höchstes deutsches Zivilgericht in gleich zwei Entscheidungen die sogenannte Technizität im Umfeld von Software in sehr großzügiger Weise bejaht. Fast jede Software kann nun als technische Lösung eines technischen Problems gelten kann und ist deshalb doch patentierbar.

Zwei neue Urteile

Vor dem BGH setzten sich in zwei Verfahren Siemens und Microsoft durch. Die beiden Unternehmen wollten ihre Patentansprüche auf reine Softwarelösungen verteidigen, und das hat der BGH mitgemacht. Nach Auffassung der Karlsruher Richter sei ein Computer per se ein technisches Gerät sei. Und deshalb sei Software, die „auf die technischen Gegebenheiten der Datenverarbeitungsanlage Rücksicht nimmt”, grundsätzlich ein technisches Mittel zur Lösung eines technischen Problems. Das Verbot, Software „als solche“ patentieren zu lassen hin oder her – eine technische Lösung für ein technisches Problem ist nun einmal schutzfähig.

Der bisher als fehlend verstandene technische Aspekt spielt damit kaum noch eine Rolle. Denn beachtet ein Entwickler etwa, dass seine Software nicht mehr Speicher reserviert, als der Rechner bietet, nimmt die Software schon „Rücksicht auf die technischen Gegebenheiten der Datenverarbeitungsanlage”. Die Voraussetzungen für die Patentierbarkeit von Software sind also so gering, dass es ausreichen dürfte, wenn der Softwareentwickler sauber arbeitet und bei der Gestaltung einer Software auf die verwendete Hardware und ihre Grenzen eingeht.

Da aber ein – wie auch immer gearteter – Hardwarebezug nötig ist, stehen Spieleentwickler vor besonderen Herausforderungen, wenn sie Spielelogiken, Regelwerke oder Konzepte schützen lassen wollen. Hier wird argumentative Maßarbeit notwendig sein. Zumal in diesem Bereich auch schon immer das Urheberrecht eine Herausforderung darstellt.

Folgen

Viele Softwareentwickler werden ab sofort versuchen, ihre Entwicklungen patentieren zu lassen. Gleichzeitig steigt das Risiko für Entwickler stark an, fremde Patente zu verletzen. Obwohl Programmierer vielleicht keine Urheberrechte verletzen, besteht also ab sofort die Gefahr von Patentverletzungen. Die Anzahl der Rechtsstreitigkeiten dürfte deshalb zunehmen.

Und diese Gefahr wird auch nicht erst langsam anwachsen, sondern ist schlagartig gegeben. Denn in einer umstrittenen Praxis hat das Europäische Patentamt schon sei Längerem de facto Softwarepatente erteilt. Nur waren die bisher zumindest in Deutschland kaum durchsetzbar. Aber das hat sich mit der Rechtsprechung des Bundesgerichtshofes nun geändert. Für eine Schar bereits erteilter Softwarepatente ist also der Startschuss gefallen, nun gegen Wettbewerber ins Feld geführt zu werden.

Softwareentwickler können damit Gewinner oder Verlierer der Softwarepatente werden. Je nachdem, wie gut sie sich auf die neue Situation einstellen. Wir erwarten turbulente Zeiten.