Die Stimmen, die Internetserviceprovider wegen datenschutzrechtlicher Gefahren beim Umstieg auf IPv6 in der Pflicht sehen, werden lauter.

Auf ihrer 33. Internationalen Konferenz in Mexiko Stadt haben der Bundesdatenschutzbeauftragte und seine Amtskollegen aus Belgien, Kanada, Großbritannien und Mexiko sich jetzt zu der Empfehlung entschlossen, auch im IPv6 Protokoll die Vergabe temporärer IPv6 Adressen ("dynamische Adressen") zum Standard bei Internetserviceprovidern zu machen. Notfalls solle dies mit einer Regulierung auf gesetzlicher oder behördlicher Ebene sichergestellt werden.

Ebenso sollen auch die bereits besprochenen "Privacy Extensions" weiter verbreitet und besonders auf mobilen Geräten zum Einsatz kommen.

Eine Adresse ist nicht genug

Aus der Netzgemeinde kommen noch weitergehende Forderungen an die Netzanbieter: die Zuteilung gleich mehrerer Präfixe an jeden Anschlussinhaber.

IPv6 erlaubt es wesentlich einfacher als IPv4, auf demselben Computer und derselben Netzwerkkarte mehrere Adressen zu verwalten. So ist es möglich, die IPv6 Adresse im laufenden Betrieb und ohne Unterbrechung der Netzwerkverbindung zu wechseln. Dabei wird den Gegenstellen offener Verbindungen der Wechsel angezeigt und eine gewisse Zeit nach dem Wechsel der Verkehr an die alte Adresse weiter bearbeitet. So lässt sich die IPv6 Adresse mehrmals täglich zufällig wechseln, ohne dass der Nutzer dies überhaupt merkt.

Auf diese Weise würde eine Verfolgung eines Computers/Internetnutzers anhand der IP Adresse unmöglich, da sich jede "Spur" der IP Adresse nach kurzer Zeit verliert und der Computer erst mit anderen Methoden (z.B. Cookies) wieder mit einer "Identität" verknüpft werden muss. Webtracking würde also nicht mehr über die IP Adresse, sondern nur noch über Cookies, Webbugs, Browsereinstellungen, etc. funktionieren. Diese sind jedoch im Gegensatz zur IP Adresse vom Nutzer einigermaßen kontrollierbar.

Auch die Provider sollte der Einsatz mehrerer zugewiesener IPv6 Adressen für jeden Benutzer nicht an ihre Kapazitätsgrenze bringen. Schließlich stehen jedem Provider mindestens 4,3 Milliarden IPv6 /64 Präfixe zur Verfügung. Lediglich Logdateien, die für den Zugriff durch Strafverfolger bereitgehalten werden, würden sich in ihrer Größe vervielfachen. Dieser Größenänderung könnten die Provider jedoch mit einer – datenschutzfreundlichen – Verkürzung der Speicherfrist begegnen.

Facebook – gefällt mir! Oder doch nicht?

Eine weitere Entwicklung: Der "Gefällt mir" Button des sozialen Netzwerkes Facebook hat noch bis vor kurzem Datenschützer und Webmaster gleichermaßen in Aufregung versetzt. Bis der Heise Verlag und andere den als iFrame eingebetteten "Gefällt mir" Button mit einer Funktion entschärft haben, die den Nutzer im Einzelfall vorab entscheiden lässt, ob eine Datenübertragung in die USA stattfinden soll oder nicht.

Firefox-Nutzer mit installiertem "Adblock Plus" Add-On mussten noch nicht einmal auf diese Funktion warten. Sie konnten schon den ursprünglichen "Gefällt mir" Button mit einem Rechtsklick --> "Frame blockieren" unschädlich machen. Und zwar für alle Webseiten, ohne Mithilfe deren Betreiber.

Damit ist der Streit zwischen Facebook und den deutschen Datenschützern jedoch noch nicht beendet. Vielmehr hat Anfang November 2011 der Schleswig-Holsteinische Datenschutzbeauftragte Thilo Weichert mehrere öffentliche und private Stellen zur Deaktivierung ihrer Facebook Fanseiten aufgefordert. Die Reaktion auf diese Aufforderung war verhalten, auch öffentliche Stellen weigerten sich der Aufforderung nachzukommen, da auch die Rechtmäßigkeit der Aufforderung selbst nicht abschließend geklärt ist. Es bleibt abzuwarten, wann in diesem Kampf die nächste Runde eingeläutet wird.

GABOR Rechtsanwälte sind auf das Datenschutzrecht spezialisiert. Wir beraten Sie gerne.

OLG Köln fragt genau nach

Dem Beschluss ist seine Sprengkraft nicht auf den ersten Blick anzusehen. Das Gericht teilt darin nur mit, dass es den Vortrag der Rechteinhaber zur Schadenshöhe noch nicht für ausreichend erachtet, um den durch das Anbieten eines Musikstücks in einer Tauschbörse entstandenen Schaden schätzen zu können.

Um die Aufregung um diesen Beschluss zu verstehen, muss dieser in die bisherige Rechtsprechung zum Thema eingeordnet werden. Bisher haben viele Gerichte bei der Schätzung des entstandenen Schadens anhand der Lizenzanalogie einen GEMA Tarif (VR W 1) zugrunde gelegt, welcher für die Nutzung eines Musikstücks aus dem GEMA Repertoire als Hintergrundmusik für Werbung per Streaming eine Mindestnutzungsgebühr von 100 € für bis zu 10.000 Abrufe vorsieht. Dabei wurde jedoch übersehen und nun vom OLG Köln aufgegriffen, dass es sich bei der Verbreitung eines Musikstücks per Filesharing weder um eine Verwendung als Hintergrundmusik, noch Werbung, noch Streaming handelt. Vielmehr hat das OLG Köln einen anderen GEMA Tarif (VR-OD 5) als Grundlage für die Schadensschätzung in Betracht gezogen. In diesem Tarif für die Nutzung von Werken für Music-on-Demand zum privaten Gebrauch gibt es jedoch keine Mindestvergütung für eine bestimmte Zahl von Abrufen, sondern eine Mindestvergütung für jeden einzelnen Abruf. Diese beträgt je Abruf eines Werkes unter 5 Minuten Spieldauer 12,78 Cent bzw. 19,16 Cent, wenn man Filesharing als Tausch- oder Geschenkgeschäft ansieht (das OLG Köln war zumindest in dem Hinweisbeschluss noch nicht dieser Ansicht).

Nicht zu früh freuen…

Solche Schadensbeträge im Cent-Bereich mögen für Filesharer zwar verlockend klingen, stellen aber noch nicht die endgültige Schadenshöhe in einem Filesharingprozess dar. Denn die Rechteinhaber können nach diesem Hinweis zu den einzelnen Faktoren, die das Gericht zu einer Schätzung des Schadens berücksichtigen soll, weiter vortragen.

Nachfolgend soll als Diskussionsbeitrag eine Möglichkeit der Schätzung des Schadens anhand des vom OLG Köln eingeschlagenen Weges aufgezeigt werden, die sich an drei Faktoren orientiert, der Anzahl der Uploads, den fiktiven Nutzungsentgelten und einer „Konversionsquote“.

Erster Faktor: Anzahl der Uploads

Dieser erste Prüfungspunkt dient zunächst dazu, abzuschätzen, wie groß der Tatbeitrag des Abgemahnten im Verhältnis zum Gesamtschaden durch Filesharing durch Tausende von Nutzern ist. Die an andere Nutzer übertragene Nutzdatenmenge stellt dazu einen tauglichen Indikator dar. Denn die technische Grundvoraussetzung einer Tauschbörse liegt in der Deckungsgleichheit der hoch- und heruntergeladenen Nutzdatenmenge. Es können also grundsätzlich nur so viele Kopien einer Datei erstellt werden wie Daten durch alle Nutzer zur Verfügung gestellt werden.

Zwar werden in der Praxis selten komplette Werke angeboten, sondern nur einzelne Teile davon, aber zur Vereinfachung wird hier davon ausgegangen, dass auch diese Teile jeweils urheberrechtlichen Schutz genießen und es für die Schadenshöhe keinen Unterschied macht, ob eine vollständige Kopie, zwei halbe oder zehn zehntel Kopien hochgeladen werden.

Zur Abschätzung des Tatbeitrag des Abgemahnten gilt es daher herauszufinden, welche Anzahl von Uploads einer Datei von einem einzelnen Nutzer überhaupt technisch möglich und welche Anzahl wahrscheinlich ist. Bereits diese Frage lässt sich bestenfalls annäherungsweise bestimmen, da in den wenigsten Fällen belastbare Daten vorhanden sein dürften.

Filesharing Programme speichern Upload-Datenmenge

Die einzigen aussagekräftigen Daten zur Anzahl der Uploads der Datei besitzt der Verletzer. Denn die meisten Filesharing-Programme halten für jede Datei oder jedes Verzeichnis genau fest, welche Nutzdatenmenge hierzu herunter- bzw. hochgeladen worden ist. Dieses Datenvolumen geteilt durch die Dateigröße ergibt einen recht genauen Anhaltspunkt, wie viele Uploads von dem jeweiligen Verletzer zu verantworten sind. In vielen Fällen dürfte jedoch das Tauschbörsenprogramm so eingestellt sein, dass diese Statistiken zum Datenvolumen nach Fertigstellung des Downloads gelöscht werden. Ohne diese Daten des Tauschbörsenprogramms müsste nach der vom OLG Köln vertretenen Ansicht die Anzahl der Uploads geschätzt werden.

Gemessene Uploadbandbreite als Indikator

Für die Schätzung der Anzahl der Uploads hilft die einfache Formel

verwendete Uploadbandbreite x Uploadzeitspanne / Dateigröße = Anzahl der Uploads

weiter. Die Dateigröße ist bekannt. Die verwendete Uploadbandbreite, also die „Geschwindigkeit“, mit der der Verletzer eine Datei an andere Nutzer hochgeladen hat, lässt sich ungefähr schätzen. Dabei hilft in vielen Fällen die Geschwindigkeit, mit der die Ermittler der Rechteinhaber die Datei vom Verletzer heruntergeladen haben.

Viele Tauschbörsenprogramme teilen die vorhandene Uploadbandbreite nach festen Regeln auf die nachfragenden Nutzer auf. Grundsätzlich erhält jeder Nutzer denselben Anteil und bei vielen Programmen (z.B. Emule, µTorrent), werden nur eine begrenzte Anzahl gleichzeitiger Uploadvorgänge pro Datei ausgeführt. Diese Anzahl gleichzeitiger Uploadvorgänge ist zwar von der genutzten Software abhängig, kann aber durch einen Sachverständigen ermittelt werden. Eine gebräuchliche Anzahl von gleichzeitigen Uploads dürfte bei 4 liegen.

Wenn also die Ermittler der Rechteinhaber beispielsweise darlegen können, eine Datei mit einer durchschnittlichen Geschwindigkeit von 15 Kilobyte/Sek. vom Abgemahnten heruntergeladen zu haben und die Datei eine Stunde lang verfügbar war, bevor der Abgemahnte die Bereitstellung beendet hat, ergibt sich bei einer Dateigröße von 5 MB ein Schätzwert von ca. 42 Uploads (15 KB/s x 4 x 3600 s / 5120 KB = 42,2). Dies unterstellt natürlich auch, dass die Nachfrage nach der Datei groß genug ist, um die bereitgestellte Uploadbandbreite auszulasten. Gegebenenfalls ist ein moderater Abschlag von diesem Schätzwert vorzunehmen, weil davon auszugehen ist, dass die Uploadbandbreite nicht jederzeit vollständig für die Übertragung von Nutzdaten verwendet wird.  

Die benutzte Uploadbandbreite ist grundsätzlich von der Leitungskapazität und den Einstellungen des Nutzers abhängig, wobei die Leitungskapazität die obere Grenze und die Nutzereinstellung eine mögliche Untergrenze darstellen. Die Obergrenze eines schnellen VDSL oder Kabelanschlusses mit 5 MBit/s Uploadbandbreite dürfte Übertragungsgeschwindigkeiten im Bereich von 550-600 KB/s ermöglichen, also im Beispiel oben ca. 380-420 Uploads pro Stunde. Bei gewöhnlichen DSL Anschlüssen mit 1 MBit/s Uploadbandbreite bei ca. 80 Uploads pro Stunde und so weiter.

Eine Begrenzung der Gesamtuploadbandbreite durch den Nutzer auf weniger als 4-5 KB/s dürfte am anderen Ende der Skala selten vorkommen, sodass im obigen Beispiel von einem Minimum von 2-3 Uploads pro Stunde anzunehmen ist.

Zahlen weit oberhalb der maximalen Schätzwerte dürften durch die Darlegung des Abgemahnten, er habe einen Internetanschluss mit geringerer Bandbreite, einfach gestalten. Schwieriger wäre jedoch für den Abgemahnten darzulegen, er habe die Uploadbandbreite der Tauschbörsensoftware auf einen geringeren Wert begrenzt oder die Zahl der gleichzeitigen Uploads eingeschränkt, da sich solche Einstellungen der Software jederzeit ändern lassen.

Zweiter Faktor: Fiktive Nutzungsentgelte

Der zweite Faktor für eine Schätzung des Schadens durch Filesharing ist die Höhe der Entgelte, die die Rechteinhaber bei ordnungsgemäßer Einräumung der notwendigen Nutzungsrechte hätten verlangen können.

Hier sind allein die Rechteinhaber in der Darlegungslast, sofern sie mehr als die vom Gericht anvisierten 12,78 bzw. 19,16 Cent verlangen. Da jedoch die GEMA anscheinend die einzige Verwertungsgesellschaft ist, die auch Tarife für on-Demand-Download veröffentlich, wird sich zeigen, ob die Rechteinhaber für ein paar Cent mehr je nachgewiesenem Upload ihre eigene Kalkulation oder gar Verträge mit kommerziellen Downloadportalen offenlegen wollen.

Hier bleibt es spannend, welche Zahlen seitens der Rechteinhaber als Antwort auf den Hinweisbeschluss vorgelegt werden.

Dritter Faktor: „Konversionsquote“ von kostenlosen zu kostenpflichtigen Downloads

Dieser dritte Faktor der Gleichung zur Schadensberechnung dürfte der unsicherste und meist umkämpfte sein.

Hintergrund der „Konversionsquote“ ist eine Frage, die im Schadensersatzrecht immer aufgeworfen werden muss und hier kaum zu beantworten ist: die Frage nach der Kausalität.

Ersatz für entgangene Nutzungsentgelte kann vom Abgemahnten nur verlangt werden, wenn seine Filesharing-Aktivitäten kausal für diese Umsatzminderung waren. Für den Einzelfall lässt sich diese Kausalität nicht feststellen, da es nicht möglich ist, alle Nutzer, die von dem Abgemahnten eine Datei heruntergeladen haben, zu fragen, ob sie das Werk ansonsten entgeltlich erworben hätten. Hierzu sind stattdessen Statistiken notwendig, die sich im Wesentlich auf Umfragen stützen. Zu der Frage: „Haben sie ein Musikstück deswegen nicht gekauft, weil sie es in einer Tauschbörse heruntergeladen haben?“ gibt es zwar diverse Studien und Umfragen, jedoch kommen diese oft zu völlig gegensätzlichen Ergebnissen. Dies kann mit der Nähe der Auftraggeber der jeweiligen Studie zu einem der beiden Lager (Musikindustrie oder Filesharer), mit unterschiedlich formulierten Fragen oder unterschiedlicher Einordnung der Antworten zu erklären sein, ändert aber an der weiten Spanne der Ergebnisse nichts. Von Aussagen wie „Filesharer geben überdurchschnittlich viel Geld für Musik aus“ und „Filesharer laden Musik nur zum Probehören herunter – was gefällt wird auch gekauft, alles andere wäre ohnehin nicht gekauft worden“ auf der einen Seite bis zu Aussagen wie „Filesharer sind Schmarotzer, die nur ihre eigene Kostenersparnis sehen“ und „ohne Filesharing hätte es keine Umsatzeinbrüche in der Musikindustrie gegeben“ auf der anderen Seite ist fast alles vertreten.

Die schwierige und undankbare Aufgabe, dieser haftungsausfüllenden Kausalität einen annähernd realistischen Wert zuzuordnen, fällt nun dem OLG Köln zu, sofern es seiner vorgegebenen Marschrichtung bis ins Detail zu folgen bereit ist.

Fazit

Die vom OLG Köln eingeschlagene Richtung in der Schadensberechnung steht im Gegensatz zur bisherigen pauschalen Schätzung auf einer fundierten Grundlage. Leichter macht es sich das OLG Köln damit keinesfalls, denn es eröffnet die Möglichkeit eines vielschichtigen und sehr technisch geprägten Vortrags beider Parteien. Mit einer guten, von technischem Sachverstand geprägten Beweiswürdigung hat das OLG Köln allerdings die Möglichkeit, ein eindeutiges Signal gegen eine pauschale π mal Daumen Schadensberechnung zu senden.

GABOR Rechtsanwälte sind auf das IT- und Urheberrecht spezialisiert. Wir beraten sie gerne.

Dies könnte sich durch Entscheidungen bessern, die jetzt vom Bundesgerichtshof (BGH) und dem Europäischen Gerichtshof (EuGH) verkündet worden sind.

Klage am Gericht des Wohnsitzes möglich

Der Bundesgerichtshof hat in dem Urteil vom 25. Oktober 2011 - VI ZR 93/10 zeitgleich mit dem EuGH (Urteile vom 25.10.2011 - C-509/09; C-161/10) die Zuständigkeit der deutschen Gerichte auch dann bestätigt, wenn der Hostprovider, also das Unternehmen, welches die technische Infrastruktur (Server) für das Blog bereitstellt, seinen Hauptsitz oder die technische Infrastruktur nicht in Deutschland hat. Ebenso hat der BGH die Anwendung deutschen Rechts gebilligt.

Der EuGH geht bei der Frage der internationalen Gerichtszuständigkeit noch einen Schritt weiter und lässt Klagen vor den Gerichten des Mitgliedsstaats zu, in dem der Geschädigte „den Mittelpunkt seiner Interessen“ hat. Dies ist zwar im Normalfall der Wohnsitz des Geschädigten, kann aber auch der Mittelpunkt beruflicher Tätigkeit in einem anderen Staat sein. Das unter diesem Gesichtspunkt angerufene Gericht kann nach diesen Entscheidungen der Luxemburger Richter über den gesamten Schaden urteilen, der im Gebiet der Europäischen Union entstanden ist. Der Geschädigte muss also nicht in jedem Mitgliedsstaat erneut klagen.

Hostprovider zur Löschung verpflichtet

Die Entscheidung des BGH konkretisiert außerdem das Verfahren, nach welchem ein Geschädigter gegen den Hostprovider (z.B. Bloghoster) vorgehen kann, um die Löschung eines beleidigenden oder rufschädigenden Eintrags zu erwirken.

So legt der BGH Wert darauf, dass bereits in der ersten Mitteilung an den Hostprovider der Rechtsverstoß so konkret dargestellt wird, dass „der Rechtsverstoß auf der Grundlage der Behauptungen des Betroffenen unschwer – das heißt ohne eingehende rechtliche und tatsächliche Überprüfung – bejaht werden kann.“

Auf diese Mitteilung hin ist der Hostprovider jedoch nicht verpflichtet, sofort zu löschen, sondern soll zunächst die Gegenseite, also den Autor des Eintrags, anhören. Wenn binnen angemessener Frist keine rechtserhebliche, substantiierte Erwiderung erfolgt, ist der Hostprovider zur Löschung verpflichtet. Erwidert jedoch der Autor und bringt konkrete Argumente für die Rechtmäßigkeit seines Beitrags vor, kann der Hostprovider wiederum beim Geschädigten Nachweise verlangen, bevor er eine Entscheidung über die Löschung treffen muss.

Fazit: Vereinfachung für alle Beteiligten?

Die besprochenen Entscheidungen stimmen vorsichtig optimistisch. Die Entscheidung des BGH liegt bisher nicht im Volltext, sondern nur als Pressemitteilung vor, und ist deswegen noch mit Vorsicht zu genießen.

Die Vereinfachung dieser komplexen Materie dürfte jedoch allerseits mit Wohlwollen aufgenommen worden sein. Die höchstrichterliche Bestätigung der deutschen Gerichtszuständigkeit und sogar Anwendbarkeit deutschen Rechts vereinfacht die Rechtsdurchsetzung gerade dann, wenn die verletzende Webseite im Ausland betrieben bzw. gehostet wird – jedenfalls solange noch ein verantwortlicher Betreiber oder Hostprovider in einem Staat greifbar ist, mit dem ein Abkommen über die Anerkennung und Vollstreckung von zivilgerichtlichen Entscheidungen besteht.

Aber auch für die Hostprovider bessert sich die Lage etwas. Die Provider saßen bisher in der tragischen Rolle fest, sich im Fall der unberechtigten Löschung Ersatzansprüchen des eigenen Kunden auszusetzen und gleichzeitig bei nicht rechtzeitiger Löschung Unterlassungs- und Schadensersatzforderungen des Geschädigten zu riskieren. Mit der konkreten Vorgabe eines Verfahrensablaufs gibt der BGH den Hostprovidern die Möglichkeit an die Hand, Vorwürfe von Beleidigung, Rufschädigung und Verleumdung eingehender zu prüfen, ohne sich der Gefahr einer Schadensersatzhaftung auszusetzen.

Aus Sicht der Geschädigten ist daher zu hoffen, dass durch eine gute Vorbereitung der Mitteilung an den Hostprovider und deren höherer Prüfungsintensität einige zeit- und kostenintensive Gerichtsverfahren vermieden werden können.

GABOR Rechtsanwälte unterstützen sie beim Schutz ihres guten Rufes im Internet – ob privat oder geschäftlich. Die Kanzlei betreut unter anderem einen Fall von Rufschädigung gegen Google Inc., über den auch unter spiegel.de berichtet wurde. Dieser Fall liegt mittlerweile beim BGH in Karlsruhe.

Ob dies möglich ist und wie, will dieser Beitrag im Detail am Beispiel Google suggest untersuchen.

Funktionsweise von Google suggest

Die suggest-Funktion bei Google und anderen Suchmaschinenanbietern bietet dem Suchenden schon bei der Eingabe des ersten Suchwortes ähnliche Suchanfragen an, welche aus der Analyse aller Suchanfragen zu diesen oder verwandten Begriffen berechnet werden. Dabei wird vor allem das Nutzerverhalten derjenigen ausgewertet und verwendet, die nach den entsprechenden Begriffen suchen. Wenn also eine genügend große Anzahl von Google-Nutzern nach dem Suchbegriff A in Verbindung mit Suchbegriff B gesucht hat, taucht Suchbegriff B schon bei Eingabe nur von Suchbegriff A in der suggest Liste auf.

Laut der Funktionsbeschreibung fließt vorrangig das Nutzerverhalten der Suchenden in die Auswahl der Vorschläge für suggest ein. Auf der Google Seite heißt es hierzu:

„Während Ihrer Eingabe werden mithilfe des Google-Algorithmus basierend auf den Suchaktivitäten anderer Nutzer Suchanfragen vervollständigt und angezeigt. Diese Suchanfragen werden algorithmisch anhand einer Reihe objektiver Faktoren automatisch berechnet. Zu diesen Faktoren zählt zum Beispiel die Beliebtheit der Suchbegriffe. Alle angezeigten vervollständigten Suchanfragen wurden zuvor von Google-Nutzern eingegeben. […]“

Dies bedeutet auch, dass die Vorschlagsfunktion „Autovervollständigen“ weniger von tatsächlich vorhandenen Suchtreffern als den Suchanfragen beeinflusst ist. Daher würde ein Suchbegriff B auch dann vorgeschlagen, wenn genügend Nutzer nach der Verbindung der Suchbegriffe A und B suchen, selbst wenn kein oder nur wenige Suchergebnisse eine Verbindung zwischen den Suchbegriffen A und B hergeben.

Fluch oder Segen?

So nützlich die suggest Funktion als Hilfe bei Tippfehlern, als Zeitersparnis oder beim Finden der richtigen Suchwörter sein kann, so gefährlich ist diese Funktion gleichzeitig für die Meinungsbildung der Suchenden.

Denn Meinungsbildung funktioniert keinesfalls nur nach völlig objektiven Kriterien, sondern Menschen lassen sich häufig und stark von der Meinung anderer beeinflussen und sehr oft auch von einer gewissen „Sensationslust“ leiten. Gerade bei Suchbegriffen mit relativ geringem Suchvolumen kann aufgrund psychologischer Vorgänge bei der Meinungsbildung der suggest Funktion eine aufmerksamkeitslenkende und meinungsbeeinflussende Wirkung zukommen. Suchmaschinenoptimierer kennen dieses Problem bereits seit längerer Zeit und mussten oft feststellen, dass sich Besucherströme auf Webseiten verlagern, die speziell für die von suggest vorgeschlagenen Begriffe optimiert wurden.

Sensationslust

So kann ein Nutzer durch suggest von seiner ursprünglichen Suchintention abgelenkt und in eine völlig andere Suchrichtung gelenkt werden. Ein Nutzer, der nach den Suchwörtern A und Z suchen will, weil er eine Verbindung zwischen A und Z kennt oder vermutet und Ergebnisse dazu sucht, könnte sich durch den Vorschlag der Verbindung A und B beeinflussen lassen, wenn er die Verbindung von A zu B nicht kannte oder diese für ihn überraschend ist. Sofern der Begriff B in diesem Fall eine Person oder ein Unternehmen (Suchbegriff A) in schlechtes Licht rückt oder gar den persönlichen oder geschäftlichen Ruf nachhaltig schädigt, sie beispielsweise mit angeblicher Insolvenz oder Betrügereien verbindet, kann diese Verbindung durch die suggest Funktion und Googles Reichweite in Deutschland schnell existenzbedrohend werden. Und ein Suchbegriff B, der sich einmal in der suggest Liste festgesetzt hat, lässt mit der Zeit immer schwieriger bekämpfen, wenn dieser eine ausreichend „sensationelle“ Verbindung enthält und so die Sensationslust von immer mehr Nutzern anspricht.

Juristische Gegenmaßnahmen

Trotz der oben angesprochenen möglicherweise rufschädigenden Wirkung der suggest Funktion ist die Möglichkeit eines juristischen Vorgehens zurzeit kaum möglich. Denn da es sich bei der Google-Suche und damit auch der suggest Funktion um ein Telemedium im Sinne des Telemediengesetzes (TMG) sowie des Rundfunkstaatsvertrages (RStV) handelt, richtet sich eine Inanspruchnahme auf Unterlassung und ggf. Schadensersatz nach den speziellen Haftungs- und Sorgfaltsmaßstäben für Telemedien, die an den entscheidenden Stellen sehr eingeschränkt sind.

Löschung wegen Rufschädigung durch suggest Vorschläge selbst?

So ist bei der Frage z.B. nach der Verletzung des Persönlichkeitsrechts als der zentralen Voraussetzung eines möglichen Unterlassungs- oder Schadensersatzanspruches zunächst zu unterscheiden, genau welche Information das Persönlichkeitsrecht verletzt und wie und von wem diese Information in welcher Weise dargestellt und verbreitet wird. So wurde in der von dieser Kanzlei betreuten „Snippets“ Entscheidung des OLG Hamburg (Aktenzeichen 3 U 67/11, verkündet am 26.05.2011) befunden, dass gerade die bei den Snippets vorgenommene automatische Destillierung einer gesamten Webseite auf wenige Schlagworte um die Suchbegriffe herum keinen eigenen Aussagewert enthält und daher ungeachtet einer möglichen Persönlichkeitsrechtsverletzung durch die Ausgangsseite keine eigene Verletzung darstellt. Hier bleibt zwar mit Spannung abzuwarten, ob der BGH dahingehend eine andere Auffassung vertritt (Nichtzulassungsbeschwerde ist eingelegt), jedoch ist bis zu einer solchen Entscheidung anzunehmen, dass sich die Sicht der Gerichte in dieser Frage trotz entgegenstehender Ansichten in der juristischen Literatur nicht ändern wird.

In Bezug auf die suggest Funktion ist es wahrscheinlich, dass die Gerichte der Snippets Rechtsprechung folgen werden, da suggest in seiner Funktion ähnlich zu Snippets ist. So wird auch durch suggest die Aufmerksamkeit des Nutzers auf die komprimierte Aneinanderreihung bestimmter Reizworte gelenkt, dies lediglich in einem früheren Stadium als bei Snippets, nämlich bereits während der Eingabe und nicht erst bei der Anzeige der Suchergebnisse.

Löschung als User generated Content?

Ein anderer Aspekt von suggest eröffnet zwar eine im Vergleich zu den Snippets neue Argumentationslinie, die jedoch letztlich auch nicht zum Ziel führt. Ausweislich der obigen Funktionsbeschreibung beruhen die Suchvorschläge maßgeblich auf Suchanfragen, die andere Nutzer an Google gestellt haben. Google speichert also die Information dazu, welche Suchbegriffe in welchen Zusammensetzungen gesucht werden, - vereinfacht gesagt - in einer gigantischen „Strichliste“. Obwohl bei Telemedien eine solche Speicherung von Informationen von Dritten oder für Dritte bereits Löschpflichten auslösen kann, scheitert eine solche hier daran, dass allein die Suchanfragen der Nutzer, die gespeichert werden und so den Suchvorschlag auslösen, selbst keine Rechtsverletzung beinhalten.

Erhöhte Sorgfaltspflichten wegen journalistisch-redaktionelle Gestaltung?

Als weiterer möglicher Angriffspunkt ist zwar an die Argumentation zu denken, die suggest Funktion könnte ein journalistisch-redaktionell gestalteter Mediendienst i.S.d. § 54 Abs. 2 RStV sein, für den weitgehende presserechtliche Sorgfaltspflichten gelten würden, jedoch ist ernsthaft zu bezweifeln, dass ein Gericht von dieser Argumentation zu überzeugen wäre.

Eine journalistisch-redaktionelle Gestaltung setzt zunächst eine Selektion und Strukturierung von Inhalten voraus, welche durchaus auch für suggest begründbar wäre. Schließlich werden die Suchanfragen der Nutzer durchaus einzelnen Begriffen zugeordnet und in ihrer Häufigkeit erfasst, so dass die Suchvorschläge aufgrund dieser Häufigkeitsverteilung selektiert und anhand der Relevanz der Suchbegriffe strukturiert werden. Allerdings fehlt es an einer „gedanklichen Auseinandersetzung“, die für eine journalistisch-redaktionelle Gestaltung ebenfalls erforderlich ist. Denn suggest liefert letztlich nur das Ergebnis einer mathematischen Funktion aus Häufigkeit und Relevanz, bietet jedoch letztlich keine inhaltliche Auseinandersetzung mit den Suchvorschlägen. Eine journalistisch-redaktionelle Auswahl findet hingegen nach anderen Kriterien und vor allem unter Zuhilfenahme der journalistischen Erfahrung des Auswählenden statt, so dass sie mit der automatischen Auswahl nicht vergleichbar ist.

Fazit

Aufgrund der obigen Ausführungen ergibt sich hinsichtlich der suggest Funktion keine neue oder andere Angriffsfläche als bezüglich der Snippets. Sollte jedoch der BGH den Snippets einen eigenen Aussagewert zuerkennen, könnte sich auch hinsichtlich der Suchvorschläge eine Löschpflicht seitens Google ergeben.

Bis dahin dürfte eher eine technische Lösung angezeigt sein, etwa die Generierung einer ausreichenden Zahl von Suchergebnissen mit einer positiven Darstellung und einer entsprechend großen Zahl von Suchanfragen durch eine Vielzahl von Nutzern (z.B. mit installierter Google-Toolbar), die den unliebsamen Suchvorschlag B so sehr in den Hintergrund drängen, dass dieser aus der Liste der Suchvorschläge verschwindet. Wie groß dieser Aufwand jedoch einzuschätzen ist, hängt vor allem vom Einzelfall und von der Anzahl der bisherigen Suchanfragen ab, welche nur Google selbst bekannt ist.

Auch die Möglichkeit, über die Google Hilfeforen eine Bitte, unliebsame Suchvorschläge zu entfernen, zu lancieren, ist mit großer Vorsicht zu nutzen, denn diese Foren sind öffentlich zugänglich. Aufgrund des „Streisand“-Effekts kann eine solch öffentliche Bitte erst recht Aufmerksamkeit erregen.

Neben der Hoffnung auf eine Entscheidung des BGH zugunsten der geschädigten Geschäfts- und Privatleute ist die suggest Funktion auch ein weiterer Anlass für den Gesetzgeber, den weitgehenden Haftungsausschluss der Suchmaschinen auf den Prüfstand zu stellen, um wenigstens eklatante Rechtsverstöße, die nicht mehr von der Meinungsäußerungsfreiheit gedeckt sind, abstellen zu können.

GABOR Rechtsanwälte unterstützen sie beim Schutz Ihres guten Rufs gegen Beleidigung, Verleumdung, Rufschädigung oder Cybermobbing.

Die Widerrufsbelehrung im Fernabsatz muss schon wieder überarbeitet werden.

Hintergrund

Wesentliche Änderungen

§ 312e BGB Wertersatz bei Fernabsatzverträgen

§ 357 BGB

Folgen für den Unternehmer

Belehrung notwendig

Fazit: Schnellstens anpassen!

Zwar ist die neue .xxx TLD ausschließlich für Unternehmen der Erotikbranche reserviert, doch auch Unternehmen und Markeninhaber anderer Branchen sollten nicht abwinken. Wie mit jedem Start einer neuen TLD beginnt nun das Rennen um die besten Plätze, sprich die prägnantesten Wort- und Buchstabenkombinationen von Neuem, doch diesmal mit erhöhter Brisanz.

Sunrise period als Schutzfrist nutzen

Viele Unternehmen haben durch ihre Unternehmenskennzeichen und Marken ein Image geprägt und großes Interesse daran, gerade nicht mit der Erotikbranche in Verbindung gebracht zu werden.

Dieser Verwechslungsgefahr wurde mit einer sunrise period begegnet, die am 7. September beginnt und – das ist das besondere daran – nicht nur den etablierten Erotikanbietern zur Sicherung ihrer angestammten Domänen und Marken, sondern jedem Markeninhaber, der seine Marke gegen die Verwendung als .xxx Domäne schützen möchte, offen steht.

Rechtzeitiges Handeln ist gefragt

Vom 7. September an können Markeninhaber aller Branchen 52 Tage lang Anträge zur Sperrung von mit der Marke gleichlautenden Domainnamen stellen.

Die Sperrung ist nicht kostenlos, es fällt eine einmalige Bearbeitungsgebühr von 200 – 300 € (!) an, aber die Sperrung schon vor Beginn der allgemeinen Verfügbarkeit birgt den Vorteil, sich nicht auf die fortwährende (und weltweite) Verteidigung der eigenen Markenrechte einstellen zu müssen.

Schutz mit Schönheitsfehlern

Jedoch hat die Sperrmöglichkeit während der sunrise period einen großen Makel, denn beim Zusammentreffen eines Sperrantrags mit einem Registrierungsantrag eines bestehenden Marken- oder Domaininhabers kommt nur letzterer zum Zuge und der Antragsteller des Sperrantrags wird auf den Rechtsweg verwiesen.

Auch bezieht sich der Sperrantrag nur auf mit einer Marke gleichlautende Domainnamen, Tippfehler- und verwechslungsfähige Domains werden nicht erfasst.

Zwar mag dieser faktische Zwang zur proaktiven Verteidigung der eigenen Markenrechte manchem Markeninhaber sauer aufstoßen, jedoch werden gerade diejenigen, die bereits kompliziertere Markenrechtsstreitigkeiten vor Gericht ausgefochten haben, die relative Einfachheit dieses Verfahrens zu schätzen wissen.

GABOR Rechtsanwälte sind auf das Domainrecht spezialisiert und beraten sie gerne.

OLG Köln erleichtert Bestreiten des fälschlich Abgemahnten

Das OLG Köln hat in einer Entscheidung vom 14.3.2011 die Beweisnot des Abgemahnten erkannt und die Gegenwehr gegen unberechtigte Abmahnungen vereinfacht:

„Soweit die Beklagte als Störer in Anspruch genommen wird, hat das Landgericht zunächst es zu Unrecht als unbeachtlich angesehen, dass die Beklagte die ordnungsgemäße Ermittlung der IP-Adresse bestritten hat. Da insoweit ein Bestreiten mit Nichtwissen gemäß § 138 Abs. 4 ZPO zulässig ist, bedurfte es des Vortrags konkreter Anhaltspunkte für die Unrichtigkeit der Ermittlungen nicht. Auch der Umstand, dass diese Software Gegenstand der oben zitierten Entscheidung des Bundesgerichtshofs war und dort nicht beanstandet worden ist, führt nicht zur Unbeachtlichkeit des Bestreitens. Die Parteien sind nicht an die tatsächlichen Feststellungen aus einem anderen Verfahren gebunden. [...] Schließlich ist darauf hinzuweisen, dass auch die Feststellungen in dem Anordnungsverfahren nach § 101 Abs. 9 UrhG nicht präjudiziell sind. Dies folgt schon daraus, dass die dortigen Feststellungen in der Regel allein auf den Angaben des Rechteinhabers beruhen, während der (angebliche) Verletzer an diesem Verfahren vor Erlass der Gestattungsanordnung nicht beteiligt werden kann.“

Bemerkenswert hierbei ist die Aussage, dass das Bestreiten der ordnungsgemäßen Ermittlung der IP-Adresse „mit Nichtwissen“ ausreicht und keine konkreten Anhaltspunkte dargelegt werden müssen, warum die Ermittlungsmethode oder deren Ergebnis fehlerhaft seien. Genau darin unterscheidet sich die Entscheidung von anderen Gerichten, die – wie das LG Köln als Vorinstanz – ein einfaches Bestreiten der ordnungsgemäßen IP-Adressenermittlung oft als „Bestreiten ins Blaue hinein“ und unsubstantiiert verworfen haben – dort mit der Konsequenz, dass die vom Abmahner vorgelegten Daten ohne genauere Prüfung als zutreffend angesehen wurden.

Das OLG Köln erkennt in dieser Entscheidung völlig zu Recht an, dass der (unberechtigt) Abgemahnte überhaupt nicht die Möglichkeit hat, den Ausführungen des Abmahners zu dessen Ermittlungsmaßnahmen, deren Ordnungsgemäßheit und deren konkreten Ergebnissen in einer Weise zu entgegnen, die die Anforderungen an die sog. sekundäre Darlegungslast des Abgemahnten erfüllen würden.

Schon technisch keine Möglichkeit eines Gegenbeweises

Der Abgemahnte hat schlichtweg keine Wahrnehmungs- und Erkenntnismöglichkeit hinsichtlich der Ermittlungsmethoden, da es sich dabei um rein interne Vorgänge des Abmahners handelt. Und auch die in diesen Fällen wichtige Frage, welche öffentliche IP-Adresse dem Abgemahnten zu einem oder mehreren Zeitpunkten zwei Monate oder länger in der Vergangenheit von dessen Internetprovider zugewiesen war, entzieht sich dem Einfluss- und Wahrnehmungsbereich des Abgemahnten. Bei der dynamischen Adressvergabe bezieht sich nämlich die vom Internetrouter des Abgemahnten abgesetzte Anfrage stets auf die Zuweisung irgendeiner, jedoch gerade nicht einer bestimmten IP-Adresse. Derartige Anfragen würde der Internetprovider abweisen, so dass der Abgemahnte gerade nicht selbst beeinflussen kann, welche IP-Adresse er zugewiesen bekommt.

Der Abgemahnte kann ebenfalls nicht einfach nachschauen, ob die Zuordnung der IP-Adresse zu seinem Anschluss zutreffend ist, da diesbezüglich längst alle Aufzeichnungen unwiederbringlich gelöscht sind. Zwar zeichnen die meisten Internetrouter ihre aktuelle öffentliche IP-Adresse auf, jedoch reicht die Kapazität dieses Speichers meist nur für wenige Tage. Eine Speicherung über längere Zeiträume bieten nur wenige Geräte überhaupt an und diese sind meist teurer als die Hardwareangebote der Internetprovider oder gängigen Elektronikmärkte.

Entscheidung könnte Vorbild für andere Gerichte sein

Es ist daher zu begrüßen, dass das OLG Köln der fehlenden Einfluss- oder Wahrnehmungsmöglichkeit des Abgemahnten auf den technischen Vorgang der Sachverhaltsermittlung konsequent durch Anwendung der Ausnahmeregelung des § 138 Abs. 4 ZPO begegnet. Dieser lautet:

"Eine Erklärung mit Nichtwissen ist nur über Tatsachen zulässig, die weder eigene Handlungen der Partei noch Gegenstand ihrer eigenen Wahrnehmung gewesen sind.“

Dem bisher vorherrschende „Automatismus“, bei Bestreiten der Täterschaft ohne Nennung des tatsächlichen Täters stets von einer (unbeachtlichen) Schutzbehauptung des Abgemahnten auszugehen, wird damit vom OLG Köln eine Absage erteilt. Dies ist vor allem vor dem Hintergrund richtig und wichtig, dass Fachleute begründete Zweifel an der Funktionsweise der von einem ähnlichen Unternehmen eingesetzten Software zur Beweisermittlung hegen.

Es bleibt daher zu hoffen, dass sich andere Gerichte dem anschließen und keine unerfüllbaren Anforderungen an den „Beweis der Unschuld“ durch den Abgemahnten stellen.

Sachverständigengutachten könnten überprüft werden

Das OLG Köln lässt es jedoch nicht dabei bewenden, sondern spricht das aus, was eigentlich selbstverständlich sein sollte: weder das Gericht noch die Parteien sind an tatsächliche Feststellungen aus anderen Verfahren gebunden. Nur weil eine bestimmte Ermittlungssoftware des Abmahners in einem anderen Verfahren nicht untersucht oder beanstandet wurde, spricht dies gerade nicht dafür, dass die Software ordnungsgemäß funktioniert oder keiner Funktionsprüfung durch einen vom Gericht bestellten Gutachter mehr bedarf. Ebenso verhält es sich mit dem Ermittlungsergebnis nach dem landgerichtlichen Auskunftsverfahren: Da von einem Richter am Landgericht mit Blick auf den Umfang derartiger Auskunftsanträge nicht ernsthaft erwartet werden kann, jede einzelne von mehreren tausend Kombinationen aus Zeitstempel und IP-Adresse zu überprüfen, muss diese Überprüfung im Einzelfall jedenfalls vom erkennenden Gericht des Unterlassungs- bzw. Zahlungsklageverfahrens nachgeholt werden. Das Gericht sollte sich jedoch gerade dann nicht darauf zurückziehen, es spreche ein Anschein für die Richtigkeit der ermittelten Ergebnisse, wenn die Richtigkeit der Ergebnisse bis zu dem Zeitpunkt noch gar nicht überprüft wurde.

Kein Freibrief für Filesharer!

Zwar ist nach dieser Entscheidung des OLG Köln der Ball wieder ein wenig mehr ins Feld der Abmahner geschlagen, die nun vielleicht eher damit zu rechnen haben, das meist schon im Abmahnschreiben zitierte Sachverständigengutachten zur Funktion der Ermittlungssoftware nun auch tatsächlich aus der Tasche zücken und auf das Richterpult legen zu müssen, jedoch ist dies noch lange kein Freibrief für zurecht abgemahnte Filesharer.

Denn bisher handelt es sich nur um eine einzelne obergerichtliche Entscheidung, die zwar eine große Überzeugungskraft innehaben mag, jedoch für andere Oberlandesgerichtsbezirke nicht bindend ist. Des Weiteren ist eine überzeugende Beweisführung durch den Abmahner auch im so genannten Strengbeweisverfahren möglich, da die verschiedenen eingesetzten Ermittlungsprogramme in vielen Fällen ja tatsächlich zum richtigen Täter bzw. Anschlussinhaber führen.

Außerdem sollte man sich dieser Verteidigung nicht ohne umfassende anwaltliche Beratung bedienen, denn die Folge des unwirksamen Bestreitens mit Nichtwissen ist die Fiktion des Zugeständnisses, der Abgemahnte wird also so behandelt, als habe er die behauptete Tatsache gar nicht in Zweifel gezogen. Diese Folge hat auch das LG Köln in Kenntnis der obigen OLG Entscheidung angewendet, weil im dortigen Fall schlicht die falschen Tatsachen mit Nichtwissen bestritten wurden.

GABOR Rechtsanwälte sind auf das IT- und Urheberrecht spezialisiert. Wir beraten sie gerne.

Der ursprüngliche Aufschrei der Werbetreibenden über die ePrivacy Änderungsrichtlinie 2009/136/EG, der sog. „Cookie-Richtlinie“, ist in Deutschland schnell verhallt. Zwischenzeitlich sind die Hersteller der meisten großen Internetbrowser für die Verbraucher in die Bresche gesprungen und versuchen auf verschiedenen Wegen das „behavioural targeting“ der diversen Werbenetzwerke und Analyseprogramme zu unterbinden.

Nach verschiedenen Ankündigungen von Mozilla (Firefox) und Microsoft (Internet Explorer) wurden nun tatsächlich Maßnahmen in den aktuellen Versionen der jeweiligen Browser eingesetzt, die zwar dasselbe Ziel der Verhinderung von Webtracking verfolgen, dabei jedoch grundverschiedene Techniken einsetzen.

Mozilla setzt auf Mitwirkung der Webseitenbetreiber

Während Microsofts Konzept „Tracking-Schutz“ auf Drittanbieter setzt, die anhand von Black- und Whitelists vorgeben, welche Webseiten welche Informationen über den Seitennutzer speichern dürfen, verlässt sich Mozillas „Do-Not-Track“ Funktion vollständig auf die Mitwirkung des jeweiligen Webseitenbetreibers und dessen eigener Umsetzung des Verbraucherwunschs, anonym zu bleiben. Mozilla sendet beim Seitenaufruf lediglich einen http-Header „do-not-track“ an die besuchte Webseite, wenn die Einstellung „Webseiten mitteilen, dass ich nicht verfolgt werden möchte“ gesetzt wurde. Ob dieser Header jedoch ausgewertet wird oder ungelesen im Datennirvana verschwindet, obliegt jedem einzelnen Webseitenbetreiber.

Webseitenbetreiber in der Pflicht zur Implementierung

Da es sich bei den Anti-Tracking Maßnahmen der Browserhersteller jedoch weder um gesetzliche Regelungen noch Industriestandards handelt, mag sich so mancher Webseitenbetreiber fragen, ob und warum er sich überhaupt mit derartigen Neuerungen, insbesondere dem „do-not-track“ Header von Mozillas Firefox auseinandersetzen muss.

Die klare Antwort an dieser Stelle kann nur lauten: Ja! Und das so schnell wie möglich.

Denn sobald ein Cookie personenbezogene Daten speichert – und dazu genügt nach dem Verständnis der Datenschutzbehörden bereits die Speicherung der (ungekürzten) IP-Adresse oder eines Unique Identifiers (UID) – greift das deutsche Datenschutzrecht ein und die jederzeit widerrufliche Einwilligung des Nutzers ist notwendig. Diese Einwilligung muss dann vor allem vor dem Beginn der Datenerhebung vorliegen und protokolliert sein; der Nutzer muss außerdem auf die Widerruflichkeit hingewiesen worden sein.

„Do-not-track“ ist wirksamer Widerspruch bzw. Widerruf

Abgesehen davon, dass eine wirksame Einwilligung in den seltensten Fällen vorliegen wird, stellt sich vor allem die Frage, ob das Aktivieren der „do-not-track“ Einstellung in Firefox als Widerspruch gegen die Datenerhebung bzw. der Widerruf einer erteilten Einwilligung angesehen werden kann. Der Widerspruch bzw. der Widerruf der Einwilligung durch den Nutzer unterliegt weder nach dem TMG (vgl. Spindler/Schuster – Recht der elektronischen Medien, 2. Aufl. 2011, 12. Teil, § 13 TMG Rn. 7) noch dem BDSG (vgl. Gola/Schomerus, BDSG 10. Aufl. 2010, § 28 Rn. 61) einer bestimmten Form und ist auch elektronisch möglich. Da hier gerade nicht die elektronische Form des § 126a BGB gemeint ist, sondern jede elektronische Erklärung ausreicht, lohnt sich also ein genauer Blick auf die „do-not-track“ Option in Firefox.

Die Einstellung „Webseiten mitteilen, dass ich nicht verfolgt werden möchte“, wurde mit Firefox Version 4 eingeführt und befand sich gut versteckt im Einstellungsreiter „Erweitert“. In Version 5 ist die Option nun etwas besser sichtbar in den Reiter „Datenschutz“ gewandert. Entscheidend ist jedoch, dass diese Option im Auslieferungszustand deaktiviert ist. So muss der Nutzer zum einen selbst tätig werden und dieses Häkchen in den Einstellungen von Hand setzen. Zum anderen ist diese Option weder auf einen flüchtigen Blick hin erkennbar und noch besonders ausführlich beschrieben, so dass sie im Wesentlichen nur von Nutzern aktiviert wird, die sich mit der Materie zumindest oberflächlich auseinandergesetzt haben.

Und genau deshalb dürfte im Setzen der Anti-Tracking Option eine eindeutige und bewusste Willenserklärung des Nutzers zu sehen sein, die dazu (meist) noch auf einer informierten Entscheidung beruht, dass dieser Nutzer keiner Webseite die Verfolgung seines Surfverhaltens gestatten will.

Diese Erklärung wird bei jedem Seitenaufruf sowohl an den Betreiber der aufgerufenen Webseite als auch an den Betreiber des Werbenetzwerks gesendet. Somit wird jeder verantwortlichen Stelle im Sinne des BDSG bzw. jedem Diensteanbieter im Sinne des TMG gegenüber der Widerspruch gegen die Datenerhebung oder -verarbeitung zu Werbezwecken erklärt.

Obwohl die Widerruflichkeit der Einwilligung nach den verschiedenen anwendbaren Gesetzen kleinen Unterschieden unterliegt, dürfte ein Ausschluss der Widerruflichkeit der Einwilligung nur in wenigen Fällen relevant werden, in denen diese eine vertragliche Hauptleistungspflicht darstellt oder die Vertragsdurchführung ansonsten unmöglich würde – in vielen solchen Fällen wird jedoch auch ein gesetzlicher Ausnahmetatbestand eingreifen.

Soweit noch eingewendet wird, dass die „do-not-track“ Einstellung kein wirksamer Widerruf sei, da auch die Eintragung in eine sog. Robinsonliste nicht ausreiche, so kann dem nicht gefolgt werden, denn die „do-not-track“ Einstellung im Mozilla Firefox unterscheidet sich an der entscheidenden Stelle von derartigen Listen. Die Mozilla Einstellung sendet eben im Einzelfall einen Widerspruch an jeden einzelnen Webseitenbetreiber bzw. jede verantwortliche Stelle, ohne dass der Betreiber vorher eine Liste eines Dritten konsultieren müsste.

Im Falle der Aktivierung der „do-not-track“ Einstellung können sich Webseitenbetreiber für die Datenerhebung und -verarbeitung dementsprechend nur noch auf gesetzliche Erlaubnistatbestände berufen, nicht jedoch auf eine Einwilligung des Nutzers. Solche gesetzlichen Erlaubnistatbestände sind jedoch hinsichtlich des Werbezwecks rar gesät und erfassen vor allem nicht die Verhaltensanalyse zum Zweck der Schaltung individualisierter Werbung.

Datennutzung ohne Einwilligung ist bußgeldbewehrt

Webseitenbetreiber, die über Cookies oder andere Tracking- oder Analysewerkzeuge mit personenbezogenen Daten umgehen, sind daher gut beraten, auch die verschiedenen Anti-Tracking Mechanismen der Browser auszuwerten und dem Willen der Nutzer, nicht im Web verfolgt zu werden, zu entsprechen. Denn ohne wirksame Einwilligung ist die Erhebung, Nutzung oder das Unterlassen der rechtzeitigen Löschung von Identifikationsmerkmalen mit Bußgeld bis zu 50.000 € bewehrt.

Auch ausländische Webseiten sind erfasst

Die Nutzung von Cookies oder anderer clientbasierter Trackingwerkzeuge wirft jedoch das Augenmerk auch auf die internationale Komponente dieser Praxis, denn nicht immer werden diese Daten ausschließlich von deutschen Webseitenbetreibern genutzt. Zum einen muss der Anbieter der deutschen Webseite, die personenbezogene oder pseudonyme Daten, die innerhalb des Werbenetzwerks mit Klarnamen verknüpft werden könnten, erhebt oder verarbeitet, die Einwilligung des Nutzers einholen.

Zum anderen erstreckt sich diese Pflicht auch auf die ausländischen Werbepartner des Netzwerks, die durch die Erhebung und Verarbeitung bestimmter Daten über das Verhalten deutscher Nutzer dem deutschen Datenschutzrecht unterworfen sind. Nach § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) genügt als Anknüpfungspunkt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Inland. Diese Erhebung, Verarbeitung oder Nutzung geschieht jedenfalls dann im Inland, wenn der Rechner, auf dem sie ausgeführt wird, in Deutschland steht. Anders als Serverlogs ausländischer Webserver werden mit Cookies und bestimmten Javascript-Routinen Daten bereits auf dem Rechner des Nutzers in Deutschland erhoben oder verarbeitet, indem etwa ein Identifikationsmerkmal in einem Cookie gespeichert, oder durch eine Javascript Routine Einzelheiten über die zuletzt besuchten Webseiten vom Datenspeicher des PCs abgerufen werden, wobei es gerade nicht darauf ankommt, ob ein deutscher oder (außereuropäischer) ausländischer Anbieter die Daten speichert oder ausliest. Derartige Zugriffe auf das Gerät des Nutzers reichten den deutschen Datenschutzbehörden bereits in einem Fall aus, um auch gegen ausländische Webseitenbetreiber (in dem Fall Facebook) tätig zu werden und Bußgeldverfahren einzuleiten.

Ausblick: ePrivacy Richtlinie geht noch weiter

Sobald die bereits angesprochene ePrivacy Richtlinie auch in Deutschland umgesetzt wird, dürfte sich im Bereich des Webtrackings die Situation nochmals verschärfen, denn die Richtlinie stellt anstelle von personenbezogenen Daten, wie sie das deutsche Datenschutzrecht kennt, auch die „Speicherung von Informationen oder de[n] Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ unter Einwilligungsvorbehalt. Durch diese Anknüpfung an „Informationen“ wird der Anwendungsbereich sehr weit gefasst. Obwohl der Begriff der „Informationen“ in der Richtlinie nicht definiert ist, deutet schon die Verwendung dieses Begriffs in der Richtlinie darauf hin, dass keine wesentliche Einschränkung des natürlichen Sprachgebrauchs erfolgen soll, also gerade keine Beschränkung auf persönliche oder personenbezogene Daten intendiert ist.

Diesem weiten Begriffsverständnis entsprechend wird auch in dem auf Veranlassung der hessischen Landesregierung vom Bundesrat am 17.06.2011 vorgelegten Entwurf zur Änderung des Telemediengesetzes (Drucksache 156/11) nur von „Daten“ gesprochen, ohne Einschränkung auf ihren Personenbezug. Ein Unterschied zwischen „Informationen“ und „Daten“ ergibt sich indes aus dem Entwurf nicht, da zur Begründung der Regelung lediglich die Umsetzung der Richtlinie angeführt wird. Eine Eingrenzung nur auf personenbezogene Daten würde voraussichtlich einer gerichtlichen Überprüfung – spätestens durch den EuGH – auch nicht standhalten.

Daher werden von der deutschen Umsetzung der „Cookie“-Richtlinie nicht nur personenbezogene, sondern auch andere Daten erfasst, die beim Nutzer erhoben werden und die nicht zwingend für die Bereitstellung des Angebots notwendig sind, beispielsweise in Cookies gespeicherte Nutzungs- oder Verhaltensdaten, selbst wenn diese keinesfalls einem Nutzer zuzuordnen sind.

In Erwägungsgrund 66 geht die Richtlinie zudem davon aus, dass auch durch Browsereinstellungen die (fehlende) Einwilligung des Nutzers zur Verwendung von Webtracking zu Analyse- und Marketingzwecken ausgedrückt werden kann. Diese Browsereinstellung entfaltet dann nach dem Willen der Richtlinie dieselbe Wirkung wie ein in anderer Weise erklärter Widerspruch gegen oder eine Einwilligung in das Webtracking zu Werbe- und Analysezwecken, ist also ebenso bindend für die Webseitenbetreiber und Betreiber von Werbenetzwerken.

Diese Aufwertung des Konsumentendatenschutz wird in Erwägungsgrund 69 noch dadurch verstärkt, dass den Mitgliedstaaten aufgegeben wird, die nationalen Datenschutzbehörden entsprechend besser auszustatten, um Verstöße gegen das Datenschutzrecht in diesem Bereich wirksam verfolgen zu können.

Die Behandlung von Browsereinstellungen werden jedoch im Gesetzesentwurf nicht explizit aufgegriffen, vielmehr werden nur bestimmte Dienstanbieter mit gesteigerten Informationspflichten belastet. Somit wird der Gesetzgeber einen anderen Weg finden müssen, Webseitenbetreiber zu verpflichten, vom Nutzer gesetzte Browsereinstellungen zum Tracking auszuwerten und zu berücksichtigen.

Fazit: Mozillas „do-not-track“ Einstellung ist unbedingt zu beachten

Auch wenn die „do-not-track“ Einstellung der neuen Firefox Browser selbst keine gesetzliche Regelung darstellt, so ist sie doch schon jetzt bei der Erhebung und Verarbeitung personenbezogener Daten als Widerspruch bzw. Widerruf des Nutzers zu beachten.

Die Umsetzung der „Cookie“-Richtlinie wird den Anwendungsbereich dieses Widerspruchs per Browsereinstellung noch maßgeblich erweitern, so dass Webseitenbetreiber und Werbenetzwerke schlussendlich nicht die Wahl haben werden, die Firefox „do-not-track“ Option oder ähnliche Browsereinstellungen zu ignorieren.

GABOR Rechtsanwälte sind auf Datenschutzrecht spezialisiert. Wir beraten Sie gerne.

Es wird Ernst mit der Umstellung auf das neue Internet-Protokoll IPv6. Datenschützer sind besorgt.

Das Thema IPv6 ist nicht neu. Die Entwicklung des Protokolls begann bereits 1995. Allerdings wird es nun Ernst mit der Umstellung vom „alten“ Protokoll IPv4 auf IPv6. Am 8. Juni 2011 findet der World IPv6 Tag statt, an dem viele große Webseitenbetreiber das Verhalten ihrer Webseiten im Dual-Stack-Betrieb testen werden.

Zwar werden von technischer Seite her keine großen Probleme prognostiziert (eine Nichterreichbarkeit der Webseiten wird nur für ca. 0,15 Promille der Internetnutzer erwartet, vor allem mit alter oder exotischer Hard- und Software). Jedoch ergeben sich aufgrund der Struktur der neuen IPv6-Adressen einige datenschutzrechtliche Fragen, über die sich Datenschützer besorgt zeigen.

Bislang: Keine feste Zuordnung

Bei den bislang genutzten IPv4 Adressen findet keine feste Zuordnung einer IP Adresse zu einem bestimmten Computer oder einer konkreten Person statt (dynamische Adressvergabe), da es aufgrund der Knappheit der „nur“ ca. 4,3 Mrd. Adressen unmöglich ist, jedem Internetnutzer mehrere IP Adressen (für Computer, Laptop, Netbook, Smartphone, etc.) zuzuteilen. Eine feste IP (static IP) wird im Normalfall nur in bestimmten Tarifen oder gegen Gebühr vergeben, bei allen anderen Nutzern ändern sich die IP Adresse in gewissen Abständen (von mehrmals am Tag bis zu wenige Male im Jahr).

Für diese dynamisch vergebenen IPv4 Adressen ist aufgrund der fehlenden Zuordnung zu einer natürlichen Person umstritten, ob sie personenbezogene Daten darstellen, welche die Anwendbarkeit der Vorschriften des Bundesdatenschutzgesetzes bzw. des Telemediengesetzes eröffnen würden.

Für Accessprovider, Webhoster und Webseitenbetreiber, die auch bisher schon IPv4 Adressen als personenbezogene Daten behandelt und entsprechend der strengen deutschen Datenschutzgesetze gespeichert und genutzt haben, wird sich mit der Einführung von IPv6 nichts ändern.

Probleme bereits im Dual-Stack-Betrieb

Alle anderen Webseitenbetreiber, die IPv6 Adressen erheben (z.B. durch Speicherung im Serverlog) und nutzen (z.B. per Google Analytics) möchten, müssen sich hingegen bald Gedanken über die Beachtung datenschutzrechtlicher Vorschriften machen, wenn ihr Webhosting-Anbieter in den Dual-Stack oder reinen IPv6 Betrieb übergeht.

Aufgrund des Aufbaus der IPv6 Adressen mit ihren 128 Bit (statt 32 Bit bei IPv4) steht nun jedem einzelnen Internetzugangsanbieter (z.B. T-Online, Vodafone, Alice, Netcologne, etc.) mindestens dieselbe Anzahl von IP-Adressen zur Vergabe an die eigenen Kunden bereit, die sich bislang die ganze Welt teilen musste (ca. 4,3 Mrd. Adressen). Damit besteht für Zugangsanbieter keine technische Notwendigkeit mehr, IP Adressen dynamisch zu vergeben. Vielmehr ist es möglich, jedem Kunden eine weltweit eindeutige IP Adresse zu erteilen, die sich während der gesamten Vertragslaufzeit nicht ändert, ähnlich einer Telefonnummer.

Da jedoch die Übermittlung der IP Adresse anders als bei der Telefonnummer nicht einfach auf Knopfdruck unterdrückt werden kann, sendet jeder Nutzer bei jeder Kommunikation diese eindeutige Identifikationsnummer an den Kommunikationspartner, selbst dann, wenn der Nutzer eigentlich gar nicht identifiziert werden möchte…

Eindeutige Wiedererkennbarkeit

Die IP Adressen der Nutzer, die von deren Zugangsanbieter nicht dynamisch vergeben werden, sind aufgrund dieser eindeutigen Wiedererkennbarkeit personenbezogene Daten im Sinne des Datenschutzrechts. Hierbei ist es auch unerheblich, ob der jeweilige Webseitenbetreiber eine IP Adresse aufgrund eigener Datenerhebung mit dem Echtnamen des Nutzers verknüpfen kann, da nach dem Erwägungsgrund 26 der Europäischen Datenschutzrichtlinie auch jedes vernünftigerweise einsetzbare Mittel zur Verknüpfung mit einem Echtnamen in den Anwendungsbereich der Richtlinie einzubeziehen ist, unbeschadet seiner möglichen Illegalität nach deutschem oder europäischen Datenschutzrecht.

Sollten sich also größere Zugangsanbieter gegen die dynamische und für eine feste Vergabe von IPv6 Adressen entscheiden, dürfte es nicht sehr lange dauern, bis Betreiber großer Webseiten, die selbst die Verwendung von Echtnamen für die Nutzung ihrer Dienste fordern bzw. empfehlen (z.B. Facebook, Google, Twitter, etc.), die statischen IPv6 Adressen mit diesen Echtnamen verknüpfen und die so entstehende Datenbank (quasi eine Whois Datenbank für IP-Adressen statt Domainnamen) auch kommerziell verwerten.

Spätestens mit der kommerziellen Verfügbarkeit solcher Whois-IP-Datenbanken wird auch die unter Juristen verbreitete Meinung des relativen Personenbezugs, nach der Daten nur für denjenigen personenbezogen sind, der diese auch mit Echtnamen verknüpfen kann, nicht länger haltbar sein, da dann jedem einzelnen Webseitenbetreiber diese Verknüpfung möglich sein wird.

Privacy Extensions nicht ab Werk

Jedoch ist mit der Problematik der vom Zugangsanbieter vergebenen festen IP Adresse nur ein Teil der Thematik erfasst. Denn vom Zugangsanbieter werden nur die ersten 64 der 128 Bit der IPv6 Adresse zugewiesen, das sog. Präfix. Die übrigen 64 Bit bilden den sog. Interface Identifier, die weltweit eindeutige Hardwarekennung der einzelnen Netzwerkkarte. Diese letzten 64 Bit werden vom Betriebssystem zugewiesen und bestehen im einfachsten Fall aus der vom Hersteller der Netzwerkkarte vergebenen unveränderlichen MAC Adresse. Der Interface Identifier macht also eine Wiedererkennung des jeweiligen PCs/Smartphones auch nach einem Wechsel des Zugangsanbieters möglich, solange nur dasselbe Gerät genutzt wird.

Zwar wird dieses Problem der weltweit eindeutigen Zuordnung der IP Adresse zu einem spezifischen Gerät in der Praxis dadurch entschärft, dass alle Microsoft Client Betriebssysteme (Windows XP, Vista, 7) die sog. Privacy Extensions für IPv6 ab Werk aktivieren und so die letzten 64 Bit der IPv6 Adresse in regelmäßigen Abständen aus Zufallszahlen jeweils neu generieren und nicht die MAC Adresse der Netzwerkkarte verwenden.

Allerdings sind gerade bei Smartphones, die üblicherweise immer von derselben Person genutzt werden, diese Privacy Extensions nicht ab Werk aktiviert und lassen sich in einigen Fällen nur sehr umständlich einschalten, z.B. bei iPhones mit iOS 4.1 und 4.2 oder bei Android Geräten. Auch Mac OS X und die meisten Linux Distributionen sind betroffen, da auch hier die Privacy Extensions zwar vorhanden, aber nicht ab Werk aktiviert sind.

Daher lässt sich auch anhand bestimmter Interface Identifier (ohne Privacy Extensions) ein Gerät wiedererkennen, sobald mit diesem auf eine Webseite zugegriffen wird. IPv6 Adressen ohne Privacy Extensions sind deswegen genau wie statisch vergebene Präfixe für jeden Webseitenbetreiber personenbezogene Daten, da eine Verknüpfung mit Echtnamen aus eigenen oder fremden Datenbeständen nicht mehr vernünftigerweise ausgeschlossen werden kann.

Grundsatz: Alles Verboten

Webseitenbetreiber, die bisher nach IPv4 gespeichert und ausgewertet haben, sollten sich darüber klar sein, dass jedenfalls IPv6 Adressen in vielen Fällen personenbezogene Daten sind, die dem Datenschutzrecht unterliegen. Und für deren Erhebung, Speicherung, Auswertung und sonstiger Verarbeitung und Nutzung gilt in Deutschland: grundsätzlich ist alles verboten, was nicht im Gesetz ausdrücklich erlaubt wird.

GABOR Rechtsanwälte sind auf Datenschutzrecht spezialisiert. Wir beraten Sie gerne.