„Woher wissen die denn, dass die Urheberrechtsverletzung von meinem Telefonanschluss aus begangen worden sein soll?“ Wie kommen die denn an meine Daten – ist das überhaupt zulässig?“ Diese Fragen werden uns in der Praxis täglich gestellt. Hier ein erster einführender Beitrag zu den datschutzrechtlichen Aspekten im Zusammenhang mit Filesharing.

Datenschutz – eine Frage von grundgesetzlicher Bedeutung

„Unsere Daten müsst ihr raten!“ – das war der Kampfruf der Datenschützer im Vorfeld der geplanten Volkszählung Anfang der 80er Jahre, das schließlich zum berühmten Volkszählungsurteils des Bundesverfassungsgerichts vom 15. Dezember 1983 führte, mit dem festgestellt wurde, dass personenbezogene Daten als Ausfluss des im Verfassungsrang stehenden Allgemeinen Persönlichkeitsrechts grundgesetzlich geschützt sind. Das Recht auf sogenannte informationelle Selbstbestimmung war damit richtungsweisend für die im Nachgang zu dem Urteil ergangenen Gesetze zum Datenschutzgesetz. Seitdem gilt im Umgang mit Daten das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, das Daten nur dann erhoben, verwertet, weitergeleitet werden dürfen, wenn die betroffene Person in die Verarbeitung eingewilligt hat oder aber ein Gesetz die Verarbeitung erlaubt. Dieser Grundsatz ist in § 4 BDSG festgeschrieben.

Woher haben die abmahnenden Kanzleien nun meine Daten?

Tauschbörsen werden im Auftrag der Rechteverwerter mittlerweile sehr engmaschig von spezialisierten Recherchedienstleister überwacht. Diese Unternehmen speichern die IP-Adressen von Nutzern, die Tauschbörsen besuchen und sich dort urheberrechtlich geschützte Werke herunterladen und damit gleichzeitig auch wieder hochladen und damit – im Fachjargon – zum Download durch Dritte bereithalten. Um Beweise zu sichern, laden diese Unternehmen von dem betroffenen Internetanschluss dann einzelne Dateien herunter und dokumentieren dies durch Screenshots.

Die so ermittelten IP-Adressen werden dann an die Rechteinhaber bzw. die Abmahnkanzleien weitergegeben. Diese haben dann zwar die IP-Adressen in der Hand – aber damit ist für sie noch nichts gewonnen, denn die IP-Adresse ist lediglich eine Zahlenkombination, die der Provider dem Nutzer des Internetanschlusses für die Dauer der Nutzung des Internets zuweist. Wer hinter dieser Zahlenkolonne steckt, weiß zu diesem Zeitpunkt nur einer: der Internetprovider des Nutzers (Telekom, 1und1, Vodafone, etc.). Um eine Abmahnung versenden zu können, müssen die abmahnenden Kanzleien vom Rechteinhabern wissen, wer sich hinter der IP-Adresse verbirgt bzw. auf wen der Telefonanschluss angemeldet ist.

Dürfen die das?

Und spätestens hier wird klar, dass das so einfach nicht geht, da es sich bei den Adresdaten um personenbezogene Daten handelt. Diese Daten dürfen allerdings – wie oben festgestellt – nur mit Einwilligung des betroffenen Anschlussinhabers bzw. auf Grund eines gesetzlichen Erlaubnistatbestandes weitergegeben werden. Da der Anschlussinhaber vor Erhalt der Abmahnung in der Regel keine Anfrage vom Internetprovider erhalten hat, mit dem um Erlaubnis nach Weitergabe der Daten gebeten wurde bleibt muss es eine gesetzliche Erlaubnisnorm geben, nach der die Internetprovider zur Herausgabe der hinter der IP-Adresse stehenden Anschlussinhaberdaten verpflichtet sind. Diese ergibt sich aus § 101 Abs. 2 UrhG. Allerdings ist in der Rechtsanwendung noch Einiges umstritten.

Das massenweise Einsammeln von IP-Adressen

In der juristischen Fachliteratur wird teilweise vertreten, dass bereits das Einsammeln der IP-Adressen durch die Recherchedienstleister auf den Tauschbörsen als ein datenschutzrechtlich unzulässiger Vorgang zu bewerten ist, da es sich bereits bei den IP-Adressen um personenbezogene Daten handele, in deren Erhebung (hiermit ist das Feststellen der Daten durch den Recherchedientsleister gemeint) der Anschlussinhaber nicht eingewilligt habe. Da keine Einwilligung des Anschlussinhabers vorliege, bedarf das Erheben der Daten einer gesetzlichen Erlaubnisnorm. Insofern kommt § 29 BDSG in Betracht, wonach eine Datenerhebung ohne Mitwirkung des Betroffenen zulässig ist, wenn der Geschäftszweck der erhebenden privaten Stelle (Recherchedienstleister) eine Datenerhebung ohne Mitwirkung des Betroffenen erforderlich macht. Unter diese Norm fallen die Einholung von Einwohnermeldeamtsauskünften bzw. die Beauftragung von Detekteien zur Durchsetzung von Ansprüchen. Es ist jedoch fraglich, ob diese Norm auch das softwaregestützte heimliche Erheben von Daten bei dem Anschlussinhaber selbst erlaubt. Entscheidend ist insoweit, dass in jedem Einzelfall eine Abwägung zwischen dem Datenerhebungsinteresse und den schutzwürdigen Belangen des Betroffenen zu erfolgen hat. Daher sei die Praxis der Rechteinhaber, die IP-Adressen in einem automatisierten, softwaregestützten Verfahren zu erheben, nicht mit den gesetzlichen Anforderungen in Übereinstimmung zu bringen, weil keine Einzelfallabwägung erfolge (Stefan Maaßen in der Zeitschrift MMR 2009, Seite 511, 513).

IP-Adresse – personenbezogenes Datum?

Das klingt im Sinne der betroffenen Anschlussinhaber zunächst mal sehr schön. Wäre nämlich das Erheben der IP-Adressen durch die Recherchedienstleister nach den geltenden Datenschutzgesetzen unzulässig, käme im zivilprozessualen Verfahren ein Beweisverwertungsverbot in Betracht. Die Ansprüche der Rechteinhaber wären dann nicht mehr durchsetzbar.

Wasser in den Wein

Einschränkend muss man dazu aber sagen, dass derzeit noch sehr umstritten ist, ab wann – oder besser gesagt – in welchen Händen die IP-Adresse ein personenbezogenes Datum darstellt bzw. zu einem solchen wird. Darüber wird unter Juristen derzeit noch gestritten. Hierzu muss man zunächst verstehen, was der Gesetzgeber unter einem personenbezogenen Datum versteht. Nach § 3 abs. 1 BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Bei dem Streit geht es um den Begriff der „bestimmbaren Personen“, mit anderen Worten um die Frage, ob man über die IP-Adresse einen Bezug zu einer bestimmten Person herstellten kann. Die Antwort auf die Frage lautet: Ja, man kann – aber ohne Weiteres nicht jeder. Der Recherchedienstleister bzw. der Rechteinhaber oder die abmahnende Kanzlei kann nämlich ohne weiteren Aufwand keinen Bezug zu der betroffenen Person, dem Anschlussinhaber herstellen. Das kann nur der Provider, der dem Anschluss für die Dauer der Internetsitzung die IP-Adresse zu gewiesen hat.

Nun soll nach einer Ansicht schon die theoretische Möglichkeit der Herstellung eines Personenbezugs ausreichen, damit ein personenbezogenes Datum vorliegt – und zwar auch dann, wenn der Personenbezug nur unter Mitwirkung eines Dritten – in dem Fall des Providers – hergestellt werden könnte. Nach anderer Auffassung soll die Personenbeziehbarkeit dagegen anhand der Verhältnisse der jeweiligen verarbeitenden Stelle geprüft werden und die Kenntnisse und Fähigkeiten von Dritten in die Prüfung nicht mit einzubeziehen. Da aber die von den Recherchedienstleistern gespeicherten IP-Adressen und Zeitangaben ohne Weiteres keine Rückschlüsse auf eine Person zulassen, ist ein personenbezug nach dieser Auffassung nicht ohne Weiteres gegeben. Danach wäre das Einsammeln der IP-Adressen und Zeitangaben zulässig, weil über diese Daten – jedenfalls nicht ohne Weiteres – ein Personenbezug herzustellen ist.

Google vs. Datenschutzbehörden

Welche Auffassung sich hier durchsetzen wird, wird sich vermutlich demnächst an anderer Stelle klären, die auf den ersten Blick erst mal gar nichts mit Filesharing zu tun hat, nämlich im Streit zwischen Google und der Hamburger Datenschutzbehörde. Hier geht es um das von Webseitenbetreibern von Google kostenlos zur Verfügung gestellte Tool „Analytics“, das eine Analyse der Besucherströme auf Websites ermöglicht. Der Chef der Hamburger Datenschutzbehörde Johannes Caspar befürchtet, über Google Analytics sei es möglich, Profile von Internetsurfern mit ihren Interessen, Lebensgewohnheiten, Konsumverhalten und Präferenzen zu erstellen. Da Nutzungsprofile nach den gesetzlichen Bestimmungen jedoch nur unter Verwendung von Pseudonymen angelegt werden dürften, die IP-Adresse jedoch kein solches Pseudonym darstelle, sondern ein Datum das Rückschlüsse auf die betroffene Person zulasse, sei die Verwendung datenschutzrechtlich unzulässig. Casper hat angekündigt, nun gegen Betreiber von Webseiten vorgehen zu wollen, die Google Analytics nutzen. Der Ausgang des Streit kann mit Spannung erwartet werden, da dies auch auf die Filesharing Fälle unmittelbar Auswirkungen hätte.