IP-Adressen-Recht

Ein Urteil des LG Bamberg (2 Qs 104/2009) ist interessant: Die StA wollte - unter Berufung auf §100a StPO - die IP Adresse eines Users erhalten, der via Anon-Dienst eine Dienstleistung für ca. 20 Euro bestellte und nicht bezahlte. Der §100a StPO setzt aber bestimmte Taten voraus, damit ein Anspruch überhaupt besteht. Die StA hatte dann wohl die Idee, alleine aus der Verwendung eines Anonymisierungs-Dienstes schon ein gewerbsmäßiges Handeln herzuleiten. Das Landgericht hat dies zu Recht abgelehnt:

Während im vorliegenden Fall durchaus Anhaltspunkte für eine Betrugsstraftat vorliegen, teilt die Kammer im Übrigen die Auffassung der Beschwerdeführerin, dass Anhaltspunkte für ein bandenmäßiges bzw. gewerbsmäßiges Handeln nicht vorliegen. Diesbezüglich fehlen jegliche Anhaltspunkte. Auch die Tatsaehe, dass sich der unbekannte Tater eines Anonymisierungsdienstes bediente, spricht ohne weitere Anhaltspunkte nicht für ein gewerbsmäßiges bzw. bandenmaßiges Handeln.

Zu Beachten ist auch die Entscheidung 2 Qs 86/2008 des gleichen Landgerichts: Hier sah das Gericht zumindest die Voraussetzungen der §§113a,b TKG gegeben als es um eine serienhafte Beleidigungswelle ging. Während im vorliegenden Fall das LG klar stellt, dass der Schaden (20 Euro) außer Verhältnis zum Grundrechtseingriff stand, sei dies im Falle der serienhaften Beleidigung anders zu werten.

Wie Daten-Speicherung.de meldet, hat das oberste schwedische Verwaltungsgericht festgestellt, dass eine IP-Adresse ein personenbezogenes Datum ist.

Das OLG Düsseldorf (AZ: I-20 W 130/08) hat entschieden, dass ein Auskunftsbegehren nach §101 UrhG an das Landgericht zu richten ist, in dessen Bezirk der zur Auskunft Verpflichtete “seinen Wohnsitz, seinen Sitz oder eine Niederlassung” hat, wobei das Gesetz zwischen Haupt- und Zweigniederlassung nicht unterscheidet. Ein Wahlrecht des Begehrenden gibt es hinsichtlich der Zuständigkeit nicht.

In der MMR 1/2009 ist ein Aufsatz von Meyerdierks (ab Seite zu finden, der die Meinung vertritt, dass eine (dynamische) IP-Adresse kein perosnenbezogenes Datum ist.

Weiterlesen »

RA Stadler berichtet, dass der §15 TMG um folgenden Absatz erweitert werden soll:

Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 und Satz 3 gilt entsprechend.

Damit würde in der Tat eine Erlaubnisnorm zur Speicherung von IPs geschaffen, was die bekannten Probleme lösen könnte. Aber nur könnte, denn zur Aufbewarungsdauer wird auf den Absatz 8 verwiesen, in dem zu lesen ist:

Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden.

Wer also IPs erfasst, um statistische Daten zu erheben, mag noch unter den Absatz 9 fallen (”Erkennen … von Störungen”), muss diese aber “unverzüglich” löschen, wenn sie nicht mehr benötigt werden. Man mag nun restriktiv sagen “nicht mehr benötigt” sind sie sofort nach der Auswertung, oder das Tatbestandsmerkmal weit auslegen und sagen, dass eine mittelfristige Auswertung möglich sein muss - als Auslegungsmerkmal mag dann das TKG herhalten, dass die Löschung jedenfalls nach 6 Monaten zwingend vorschreibt.

Letztlich aber wird das Problem der Ungewissheit nur verschoben. Der Gesetzgeber vertut erneut die Chance einer ausdrücklichen Lösung des Problems.

Kurze Anmerkung, weil ich hier aktuell nochmal den Satz mit dem “Praxisbezug” lese:

Ob eine grundsätzliche Möglichkeit der Datenzusammenführung in Zusammenhang mit einer IP-Adresse zwingend bedeutet, dass es sich um personenbezogene Daten handelt, halten wir für wenig praxisgerecht und stimmen damit dem Kollegen Bahr zu [...]

Dazu von mir nochmals meine Standpunkte:

1. Nach mehr als 5 Jahren Tätigkeit im Bereich IT-Security ziehe ich, wie viele meiner früheren Kollegen, weiterhin in Zweifel, dass grundsätzlich die mittelfristige Speicherung von IP-Adressen zur Absicherung von Webseiten sinnvoll ist.
2. Wenn man darauf abstellt, dass nun mal die meisten Webserver IP-Adressen speichern und es insofern praxisfern wäre, die Speicherung zu verbieten, so darf es kein Argument sein, dass die breite Masse rechtsbrüchig handelt. Analog würde man sonst den Tatbestand der Hehlerei abschaffen, weil nur so Hehler ihrem Beruf nachgehen könnten.
3. Wer meiner Rechtsauffassung folgt, kriminalisiert nicht einfache Webmaster, da ich das Merkmal “Dienstbetreiber” eng auslege und nur denjenigen erfassen möchte, der die wirkliche Gewalt über den Webserver-Dienst hat. Dies ist im Regelfall nicht der Webmaster der ein Paket gebucht hat, sondern der Server-Betreiber, also Provider. Webmaster sind also bei mir keinen Ansprüchen ausgesetzt und brauchen keine Angst zu haben, die anderswo suggeriert wird.

Eine IP ist ein personenbezogenes Datum - wer der Meinung ist, dass wir für Webseiten eine weitere Regelung brauchen, der sollte auf Gesetzesänderungen drängen. Im übrigen verweise ich auf meine Ausführungen zum Thema.

Die Telekom bleibt verpflichtet, Strafverfolgungs- und Sicherheitsbehörden Auskünfte über Inhaber eines Internetanschlusses mit „dynamischen“ IP-Adressen zu erteilen. Einen im September 2008 beim Verwaltungsgericht Köln gestellten Eilantrag mit dem Ziel, diese Verpflichtung vorerst auszusetzen, lehnte das Gericht mit einem heute den Beteiligten bekannt gegebenen Beschluss ab.

Update: Das OVG NRW (13 B 33/09) hat den Beschluss bestätigt.

Weiterlesen »

Der Vollständigkeit halber verweise ich hier auf ein Urteil des AG München vom Ende September 2008 (AZ: 133 C 5677/08), in dem der personenbezug einer IP verneint wird. Leider ist das Urteil inhaltsleer, es wird lediglich auf den Gola/Schomerus verwiesen, womit das Urteil die Entwicklung der letzten 2 Jahre vernachlässigt. Fazit: Eine Entscheidung contra personenbezug, aber leider ohne Relevanz für die aktuelle Diskussion.

Heise berichtet, dass demnächst bekannt werden soll, dass WPA (nicht WPA2) innerhalb kürzester Zeit knackbar sein soll, jedenfalls was das Mithören angeht (nicht das einloggen, so auch auf Golem). Damit eröffnen sich natürlich direkt einige (rechtliche) Probleme:

1. Die Sicherung eigener Netze sollte umgehend auf WPA2 umgestellt werden,
2. bei der Haftung als Störer (etwa wenn Dritte unerlaubt urheberrechtlich geschütztes Material über den eigenen Netzzugang anbieten/tauschen) ist man möglicherweise demnächst selbst mit WPA nicht mehr auf “sicherem Boden”

Problematisch ist vor allem der unscheinbare Hinweis im Heise-Artikel:

Teile des Codes sollen bereits heimlich in das Tool aircrack-ng eingeflossen sein.

Wenn dem so ist, wäre die Technik faktische Massenware, da “aircrack” das wohl meistverbreitete Tool zum Thema ist.

Heise berichtet von einer Entscheidung des OLG Köln, derzufolge bei einem Antrag auf eine einstweilige Verfügung die Verbindungsdaten nicht herauszugeben sind. Vielmehr ist dem Provider aufzugeben, dass die Daten nicht zu löschen sind und das Hauptsacheverfahren ist abzuwarten. Infos dazu hier.