Leseprobe
Inhalt
Abbildungsverzeichnis
Abkürzungsverzeichnis
Zusammenfassung
Abstract
Literatur- und Quellenverzeichnis
A. Einführung
I. Gesellschaftliche Relevanz
II. Jüngste Entwicklung in Rechtsprechung und Praxis
III. Herangehensweise
B. Grundlagen
I. Zentrale Begriffe
1. Dynamische IP-Adresse
a) Allgemeines
b) Zuteilung von IP-Adressen
2. Access Provider
a) Allgemeines
b) Reseller
3. Flatrate
4. Terminologie im Datenschutz
a) Grundbegriffe des Umgangs mit Daten
b) Speichern und Löschen
II. Access Provider als Telekommunikations- und Telemediendiensteanbieter
1. Telekommunikationsdiensteanbieter
a) Literatur und Rechtsprechung
b) Bundesnetzagentur
c) Gemeinschaftsrechtlicher Hintergrund
d) Stellungnahme
2. Telemediendiensteanbieter
a) Access Provider als Vermittler
b) Schichtenmodell
c) Abgrenzung bei Kombinationsangebot
aa) Gemeinschaftsrechtlicher Hintergrund
bb) Klärung durch das Telemediengesetz?
d) Diskussion
aa) Keine schematische Anwendung des OSI-Modells im Recht
bb) Systematik des TMG
cc) Richtlinienkonformität
dd) Ergebnis
e) Bewertung
C. Die IP-Adresse und ihr rechtlicher Schutz
I. Europäisches Recht
1. Unionsgrundrechte
a) Achtung des Privat- und Familienlebens
b) Schutz personenbezogener Daten
2. Marktfreiheiten
a) Betroffene Marktfreiheiten
b) Funktion des Internet zur Verwirklichung der Freiheiten
c) Stellungnahme
3. Sekundärrecht
a) Datenschutzrichtlinie
b) Datenschutzrichtlinie für elektronische Kommunikation
4. Internationales Binnenmarktrecht
a) Europäische Menschenrechtskonvention
aa) Allgemeines
bb) Artikel 8
b) Datenschutz-Konvention
II. Deutsches Recht
1. Grundrechte
a) Informationelle Selbstbestimmung
aa) Entstehung
bb) Inhalt und Schranken
b) Fernmeldegeheimnis
aa) Historische Entwicklung
bb) Inhalt und Schranken
c) Verhältnis der Grundrechte zueinander
2. Einfachgesetzlicher Schutz
a) Datenschutzrecht
aa) Verbotsprinzip mit Erlaubnisvorbehalt
bb) Datenvermeidung und Datensparsamkeit
b) Telekommunikationsrecht
aa) Telekommunikations-Datenschutz
bb) Schutz juristischer Personen
c) Telemedienrecht
d) Europäische Menschenrechtskonvention
III. Die IP-Adresse als personenbezogenes Datum
1. Bestimmbarkeit des Teilnehmers
2. Bestimmbarkeit des Nutzers
IV. Die IP-Adresse als Verkehrsdatum
1. Definition und Funktion
a) Legaldefinition
b) Entstehung von Verkehrsdaten
aa) Prinzip der Verkehrsdaten in der Telefonie
bb) Übertragbarkeit der Prinzipien auf das Internet
2. Bewertung im Hinblick auf Auskunftsbegehren
a) Klare Einordnung
b) Unterscheidung zwischen den Daten und Auskunft
aa) Widersprüchlichkeit
bb) Stellungnahme
V. Die IP-Adresse als Standortdatum?
1. Einordnung als Standortdatum
2. Rechtsfolgen der Einordnung
a) Möglicher Widerspruch
aa) Mobile Anschlüsse
bb) Dienst mit Zusatznutzen
cc) Mögliche Rechtsfolge
b) Diskussion
aa) Änderung des Wortlauts gegenüber der TD
bb) Verstoß gegen Sparsamkeitsgebot
c) Gemeinschaftsrechtlicher Hintergrund
d) Stellungnahme
VI. Erhebung und Löschungspflicht
1. Erhebung und Speicherung für die Verbindung
2. Löschungspflicht mit Erlaubnisvorbehalt
D. Erlaubnis für die Speicherung
I. Einwilligung
1. Abschließende Regelung im TKG
2. Grundrechtliche Abwägung
a) Privatautonomie
b) Schutz des Kommunikationspartners
c) Veräußerlichkeit von Grundrechten
d) Beschränkung der Privatautonomie
3. Gemeinschaftsrechtlicher Hintergrund
4. Stellungnahme
II. Vermarktung, Gestaltung und Dienste mit Zusatznutzen
1. Vermarktung und Gestaltung
2. Dienste mit Zusatznutzen
III. Speicherung zur Entgeltermittlung und ‑abrechnung
1. Ermittlung und Abrechung
2. Nachweis der Richtigkeit
a) Streit über die Richtigkeit
b) Praktische Bedeutung und Beweiskraft
c) Beweislast
d) Speicherung der IP-Adresse zum Nachweis?
3. Einzelverbindungsnachweis
a) Einzelverbindungsnachweis bei Internet-Flatrate?
b) IP-Adresse im Einzelverbindungsnachweis?
c) Zulässigkeit der Speicherung
4. Abrechnung mit anderen Diensteanbietern
a) Fremde Diensteanbieter
b) Diensteanbieter ohne eigenes Netz
5. Leistungsermittlung
IV. Speicherung zur Fehler- und Störungsbeseitigung
1. Offensichtlichkeit der Störung?
2. Verhältnismäßigkeit
3. Ergebnis
V. Bekämpfung von Leistungserschleichungen
1. Telekommunikationsrecht
2. Telemedienrecht
3. Abgrenzung
4. Rechtswidrige Inhalte als rechtswidrige Inanspruchnahme?
VI. Speicherung zur Gewährleistung der ICT-Sicherheit
1. Bedeutung der IP-Adresse für die Gewährleistung von ICT-Sicherheit
2. ICT-Sicherheit als Erlaubnistatbestand?
a) Telemedienrecht
b) Telekommunikationsrecht
VII. Speicherung aufgrund von Auskunftspflichten
1. Bestehende Auskunftspflichten
a) Auskunftspflichten im Urheberrecht
b) Andere Auskunftspflichten
2. Auskunftspflichten als Erlaubnistatbestand?
a) Das schwedische Öffentlichkeitsprinzip
b) Rechtsprechung und Literatur
c) Stellungnahme
3. Änderungen durch das TKG-Änderungsgesetz?
4. Änderungen durch die Durchsetzungsrichtlinie
a) Durchsetzungsrichtlinie und Umsetzung
b) Erlaubnistatbestand durch die Umsetzung der Durchsetzungsrichtlinie?
aa) Ziele der Richtlinie
bb) Schadensersatzanspruch
cc) Vorabentscheidungsersuchen
dd) Stellungnahme
VIII. Speicherung im Rahmen der Telekommunikationsüberwachung
1. Rechtsgrundlagen der TK-Überwachung
a) TK-Überwachung im Strafprozessrecht
b) Telekommunikationsüberwachung im Gefahrenabwehrrecht
c) TK-Überwachung zu geheimdienstlichen Zwecken
2. TK-Überwachung als Erlaubnistatbestand?
IX. Speicherung für IP-Billing
1. IP-Billing als Zahlungsmethode
2. Einwilligung
3. §97 Abs.6 TKG
4. Stellungnahme
X. Unverzügliche Löschung
1) Unverzüglichkeit
2) Zumutbarkeit und Güterabwägung
E. Anstehende Umsetzungen
I. Umsetzung der Cybercrime Konvention
1. Gegenstand der Konvention
a) Strafprozessuale Maßnahmen
b) Materieller Anwendungsbereich
2. Umsetzung der Konvention
a) Ratifikationsstand unter den Mitgliedsstaaten der EU
b) Umsetzung in Deutschland
aa) Umgehende Sicherung
bb) Herausgabeanordnung
cc) Verkehrsdatenerfassung in Echtzeit
II. Umsetzung der Data Retention Richtlinie
1. Gegenstand der Richtlinie
2. Umsetzung der Richtlinie
3. Formelle und materielle Bedenken
a) Formelle Bedenken
b) Materielle Bedenken
c) Stellungnahme
F. Resümee
Abbildungsverzeichnis
Abbildung 1: IP-Pakete und Vermittlung über den Access Provider
Abbildung 2: Das OSI Schichtenmodell
Abbildung 3: Entstehung von Verkehrsdaten bei Telefongesprächen
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Zusammenfassung
Die Speicherung von dynamischen IP-Adressen durch Access Provider ist ein rechtlich, rechtspolitisch und gesellschaftlich diskutiertes Thema, insbesondere im Hinblick auf die nicht anlassbezogene Vorratsdatenspeicherung. Access Provider sind TK-Diensteanbieter; zugleich erfordert insbesondere das Gemeinschaftsrecht, sie auch als Telemediendiensteanbieter zu klassifizieren. Für die Erhebung, Verwendung und Löschung von IP-Adresszuordnungen gelten daher die besonderen Datenschutzbestimmungen des TKG und des TMG.
Da die dynamische IP-Adresse ein Verkehrsdatum ist und dem Fernmeldegeheimnis unterliegt, muss der Access Provider die Zuordnung grundsätzlich unverzüglich nach dem Verbindungsende löschen. Eine darüber hinausgehende anlassbezogene Verwendung ist nur bei Missbrauchsverdacht und mit Einwilligung des Teilnehmers auch für den Einzelverbindungsnachweis und IP-basierte Zahlungssysteme zulässig; Abrechnungszwecke, Auskunftspflichten des Access Providers und die Datensicherung können hingegen die Speicherung nicht rechtfertigen. Die Vorratsspeicherung ist unzulässig; daran ändert auch der Blick auf das europäische Recht nichts, weil die Richtlinie zur Vorratsspeicherung formell und materiell rechtswidrig ist.
Abstract
The processing of data about dynamically assigned IP addresses by internet access providers is an issue that is being widely discussed in aspects of law, politics and civil rights, especially concerning blanket retention of that data. Access providers are telecommunication service providers; at the same time, especially considering European law, they are to be classified as telemedia service providers. Therefore, for collection and processing of IP address assignments, both the Telecommunications Act and the Telemedia Act are relevant.
As any IP address assignment is traffic data and therefore protected by the constitutional secrecy of telecommunications, data about the assignments have to be erased forthwith after the connections are terminated. Further retention can only be justified for individual data, namely for the purposes of prevention of abuse and, with the subscriber’s consent, also for itemised bills and IP-based billing services. General billing, any obligations to give information, and data security are not justifications for retention. Traffic data retention is illegal and cannot be justified by the EC Data Retention Directive, as the directive is void by law in form and content.
Literatur- und Quellenverzeichnis
Aust, Sascha
IP-Adressen schneller gelöscht – Internetprovider speichern Verbindungsdaten von Flatratenutzern nur noch wenige Tage, Hannoversche Allgemeine Zeitung vom 22. Februar 2007, S. 14.
Bär, Wolfgang
Auskunftsanspruch über Telekommunikationsdaten nach den neuen §§100g, 100h StPO, MMR 2002, S. 358-364.
ders.
Anmerkung zur Entscheidung LG Ulm, MMR 2004, S. 187-188.
ders.
Anmerkung zur Entscheidung LG Frankfurt/Main, MMR 2004, S. 339-343.
ders.
Anmerkung zur Entscheidung LG Stuttgart, MMR 2005, S. 626-627.
Bleich, Holger
Aufbewahrungsverbot, c’t 15/2005, S. 32.
Bosse, Rolf / Richter, Thomas / Schreier, Michael
Abrechnung mit IP-Adressen, CR 2007, S. 79-84.
Breyer, Jonas
Vorratsspeicherung von IP-Adressen durch Access Provider, DuD 2003, S. 491-495.
Breyer, Patrick
Die systematische Aufzeichnung und Vorhaltung von Telekommunikations-Verkehrsdaten für staatliche Zwecke in Deutschland, Berlin 2005.
ders.
Telecommunications Data Retention and Human Rights: The Compatibility of Blanket Traffic Data Retention with the ECHR, European Law Journal 2005, S. 365-375.
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Hrsg.)
Website des BfDI, Bonn, http://www.bfdi.bund.de.
Burhoff, Detlef
Auskunft über Telekommunikationsverbindungsdaten, ZAP 2002, Fach 22, S. 359-360.
Business Software Alliance (Hrsg.)
Website der Business Software Alliance, München, http://www.bsa.de.
Busse-Muskala, Dominika und Veit
Die Berücksichtigung europäischer Vorgaben bei der Abgrenzung eigener und fremder Informationen nach dem TDG, JurPC Web-Dokument 30/2005, http://www.jurpc.de/aufsatz/20050030.htm.
Callies, Christian / Ruffert, Matthias (Hrsg.)
EUV/EGV, Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, Kommentar, 3.Aufl., München 2007 (zitiert Callies/Ruffert – Bearbeiter).
Czychowski, Christian
Auskunftsansprüche gegenüber Internetzugangsprovidern „vor“ dem 2. Korb und „nach“ der Enforcement-Richtlinie der EU, MMR 2004, S. 514-519.
Dietrich, Ralf
Rechtsprechungsbericht zur Auskunftspflicht des Access-Providers nach Urheberrechtsverletzungen im Internet - Anmerkung zu LG Flensburg, GRUR-RR 2006, 174, GRUR-RR 2006, S. 145-147.
Dix, Alexander
Vorratsspeicherung von IP-Adressen?, DuD 2003, S. 234-236
Eckhardt, Jens
Kommentar zum Urteil des LG Darmstadt, K&R 2006, S. 293-296.
Einzinger, Kurt / Schubert, Agnes / Schwabl, Wolfgang / Wessely, Karin /Zykan, David
Wer ist 217.204.27.214? Access-Provider im Spannungsfeld zwischen Auskunftsbegehrlichkeiten der Rechteinhaber und Datenschutz, MR 2005, S. 113-118.
Elbel, Thomas
Die datenschutzrechtlichen Vorschriften für Diensteanbieter im neuen Telekommunikationsgesetz auf dem Prüfstand des europäischen und deutschen Rechts, diss. iur., Berlin 2005.
Echenbach, Jürgen / Niebaum, Frank
Von der mittelbaren Drittwirkung unmittelbar zur staatlichen Bevormundung, NVwZ 1994, S. 1079-1082.
Europarat, Vertragsbüro (Hrsg.)
Website des Vertragsbüros des Europarates, Straßburg, http://conventions.coe.int.
Fisahn, Andreas
Ein unveräußerliches Grundrecht am eigenen genetischen Code, ZRP 2001, S. 49-54.
Forgó, Nikolaus / Feldner, Birgit / Witzmann, Martin / Dieplinger, Simone (Hrsg.)
Probleme des Informationsrechts, Wien 2003.
Fröhle, Jens
Web Advertising, Nutzerprofile und Teledienstedatenschutz, München 2003.
Geppert, Martin / Piepenbrock, Hermann-Josef / Schütz, Raimund /Schuster, Fabian (Hrsg.)
Beck’scher TKG-Kommentar, 3.Aufl., München 2006 (zitiert BeckTKG – Bearbeiter).
Gercke, Marco
Analyse des Umsetzungsbedarfs der Cybercrime Konvention - Teil 2: Die Umsetzung im Bereich des Strafverfahrensrechts, MMR 2004, S. 801-806.
Gesellschaft für deutsche Sprache (Hrsg.)
Wörter, die Geschichte machten – Schlüsselbegriffe des 20.Jahrhunderts, Gütersloh/München 2001.
Grabitz, Eberhard (Begründer) / Hilf, Meinhard (Hrsg.) / Wolf, Manfred (Hrsg.)
Das Recht der Europäischen Union, Band III, Sekundärrecht: EG-Verbraucher- und Datenschutzrecht, Loseblatt, Stand 30. EL, München 2006.
Grote, Elisabeth
Die Telekommunikations-Kundenschutzverordnung, BB 1998, S. 1117-1120.
Heidrich, Joerg
Die T-Online-Entscheidung des RP Darmstadt und ihre Folgen, DuD 2003, S. 237-238.
Heise, Christian und Ansgar / Persson, Christian (Hrsg.)
Heise Online, Hannover, http://www.heise.de.
Hoeren, Thomas / Sieber, Ulrich (Hrsg.)
Handbuch Multimedia Recht, Loseblatt, Stand 16. EL, München 2006 (zitiert Hoeren/Sieber – Bearbeiter).
IDG Business Media (Hrsg.)
Tecchannel, München, http://www.tecchannel.de.
International Federation of the Phonographic Industry, Deutsche Landesgruppe (Hrsg.)
Website der deutschen Phonoverbände, Berlin, http://www.ifpi.de.
Jandach, Thomas
Identität und Anonymität bei der elektronischen Kommunikation, in Taeger, Jürgen / Wiebe, Andreas (Hrsg): Informatik-Wirtschaft-Recht – Regulierung der Wissensgesellschaft – Festschrift für Wolfgang Kilian, S. 443-461.
Johnston, Steven R.
The Impact of Privacy and Data Protection Legislation on the Sharing of Intrusion Detection Information, LNCS 2212/2001, S. 150-171.
Kazemi, Robert
Anmerkung zur Entscheidung des AG Darmstadt, MMR 2005, S. 636-637.
ders.
Anmerkung zur Entscheidung des BGH, MMR 2007, S. 37-38.
Kemmitt, Helen / Mögelin, Chris
Data Protection and Privacy, in Scherer, Joachim (Hrsg.), Telecommunication Laws in Europe, 5.Aufl., Haywards Heath 2005, S. 112-124.
Kilian, Wolfgang
Europäisches Wirtschaftsrecht, 2.Auflage, München 2003.
Kitz, Volker
Die Auskunftspflicht des Zugangsvermittlers bei Urheberrechts-verletzungen durch seine Nutzer, GRUR 2003, S. 1014-1019.
Klaß & Ihlenfeld Verlag (Hrsg.)
Golem.de – IT-News für Profis, Berlin, http://www.golem.de.
Klein, Eckart
Grundrechtliche Schutzpflicht des Staates, NJW 1989, S. 1633-1640.
Koenig, Christian / Loetz, Sascha / Neumann, Andreas
Telekommunikationsrecht, Heidelberg 2004.
Köcher, Jan / Kaufmann, Noogie
Anmerkung zur Entscheidung LG Hamburg, MMR 2005, S. 61-62.
dies.
Speicherung von Verkehrsdaten bei Internet-Access-Providern, DuD 2006, S. 360-364.
Köster, Oliver / Jürgens, Uwe
Haftung professioneller Informationsvermittler im Internet - Eine Bestandsaufnahme nach der Novellierung der Haftungsregelungen, MMR 2002, S. 420-425.
Krasemann, Henry
Besprechung des Beschlusses des Landgerichts Frankfurt am Main vom 15.05.2003 (Az.: 5/6 Qs 47/03) und des Beschlusses des Landgerichts Frankfurt am Main vom 21.10.2003 (Az.: 5/8 Qs 26/03), JurPC Web-Dokument 140/2004, http://www.jurpc.de/aufsatz/20040140.htm.
Lepperhoff, Niels / Tinnefeld, Marie-Theres
Aussagewert der Verkehrsdaten – Aspekte der Sicherheitspolitik, des Datenschutzes und der Wirtschaft, RDV 2004, S. 7-11.
Leutheusser-Schnarrenberger, Sabine
Vorratsdatenspeicherung – Ein vorprogrammierter Verfassungskonflikt, ZRP 2007, S. 9-13.
Linke, Thomas
Anmerkung zur Entscheidung des OLG Hamburg, MMR 2005, S. 456-458.
Malek, Klaus
Strafsachen im Internet, Heidelberg 2005.
Di Martino, Alessandra
Datenschutz im Europäischen Recht, Berlin 2004, http://www.whi-berlin.de/documents/whi-paper1504.pdf.
Meyer, Jürgen (Hrsg.)
Charta der Grundrechte der Europäischen Union (Kommentar), 2.Aufl., Baden-Baden 2006 (zitiert MeyerGRC – Bearbeiter).
Meyer-Ladewig, Jens
Europäische Menschenrechtskonvention, Kommentar, 2.Aufl.,Baden-Baden 2006.
Michelfelder, Diane
The moral value of informational privacy in cyberspace, Ethics and Information Technology 2001, S. 129-135.
Mühlbauer, Peter
Wer die Verbindungsdaten speichert, Telepolis 16.01.2007, http://www.heise.de/tp/r4/artikel/24/24446/1.html.
ders.
Wer die Verbindungsdaten speichert (und das Gegenteil behauptet), Telepolis 24.01.2007, http://www.heise.de/tp/r4/artikel/24/24496/1.html.
Nachbaur, Andreas
Standortfeststellung und Art. 10 GG – Der Kammerbeschluss des BVerfG zum Einsatz des „IMSI-Catchers”, NJW 2007, S. 335-337.
Ohlenburg, Anna
Der neue Telekommunikationsdatenschutz - Eine Darstellung von Teil 7 Abschnitt 2 TKG, MMR 2004, S. 431-440.
Penders, Jacques
Privacy in (mobile) telecommunications services, Ethics and Information Technology 2004, S. 247-260.
Pfeiffer, Gerd (Hrsg.)
Karlsruher Kommentar zur Strafprozessordnung, 5.Aufl., München 2003 (zitiert KKStPO – Bearbeiter).
Pincus, Laura B. / Johns, Roger
Private Parts: A Global Analysis of Privacy Protection Schemes and a Proposed Innovation for Their Comparative Evaluation, J Bus Ethics 1997, S. 1237-1260.
Pocar, Fausto
New Challenges for International Rules against Cyber-Crime, European Journal on Criminal Policy and Research 2004, S. 27-37.
Pollach, Irene
A Typology of Communicative Strategies in Online Privacy Policies: Ethics, Power and Informed Consent, J Bus Ethics 2005, S. 221-235.
Rieß, Peter (Hrsg.)
Löwe/Rosenberg – Die Strafprozessordnung und das Gerichtsverfassungsgesetz, Band 2: §§72-136a, 25.Aufl., Berlin 2004 (zitiert Löwe/Rosenberg – Bearbeiter).
Roßnagel, Alexander (Hrsg.)
Handbuch Datenschutzrecht, München 2003.
Sankol, Barry
Die Qual der Wahl: §113 TKG oder §§100g, 100h StPO? - Die Kontroverse über das Auskunftsverlangen von Ermittlungsbehörden gegen Access-Provider bei dynamischen IP-Adressen, MMR 2006, S. 361-365.
Schild, Hans-Hermann
Die Richtlinie über die Verarbeitung personen bezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, EuZW 1999, S. 69-74.
ders.
Vom Dreigestirn zum Zweigestirn? - Ein Beitrag zum sprachlichen Babylon nach dem zukünftigen neuen TMG und dem 9. RÄStV, MMR 2007, Heft 2, S. V-VI.
Schmitz, Peter
Anmerkung zur Entscheidung des OLG Hamburg, MMR 2000, S. 615-617.
ders.
Inhalt und Gestaltung von Telekommunikationsverträgen, MMR 2001, S. 150-158.
ders.
Anmerkung zur Beurteilung des RP Darmstadt, MMR 2003, S. 214-216.
Schramm, Marc
Staatsanwaltschaftliche Auskunft über dynamische IP-Adressen, DuD 2006, S. 785-788.
Schuster, Fabian (Hrsg.)
Vertragshandbuch Telemedia, München 2001.
Schütz, Raimund
Anmerkung zur Regulierungsverfügung der RegTP, MMR 1999, S. 557-568.
Sieber, Ulrich / Höfinger, Frank Michael
Drittauskunftsansprüche nach §101a UrhG gegen Internetprovider zur Verfolgung von Urheberrechtsverletzungen, MMR 2004, S. 575-585.
Simitis, Spiros (Hrsg.)
Bundesdatenschutzgesetz (Kommentar), 6.Aufl., Baden-Baden 2006 (zitiert Simitis/ Bearbeiter).
Spindler, Gerald (Hrsg.)
Vertragsrecht der Internet-Provider, 2.Aufl., Köln 2004.
ders.
Anmerkung zur Entscheidung des OLG Frankfurt/Main, MMR 2005, S. 243-245.
Spindler, Gerald / Schmitz, Peter / Geis, Ivo
Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz, Kommentar, 1.Aufl., München 2004.
Splittgerber, Andreas / Klytta, Joanna
Auskunftsansprüche gegen Internetprovider, K&R 2007, S. 78-85.
Steele, Jonathan
Data Protection: An Opening Door? The Relationship between Accessibility and Privacy in Sweden in an EU Perspective, Liverpool Law Review 2002, S. 19-39.
teltarif.de Onlineverlag (Hrsg.)
teltarif.de, Berlin, http://www.teltarif.de.
Ulmer, Claus / Schrief, Dorothee
Datenschutz im neuen Telekommunikationsrecht – Bestandsaufnahme eines Telekommunikationsdienstleisters zum aktuellen Entwurf des Telekommunikationsgesetzes, RDV 2004, S. 3-7.
Vassilaki, Irini
EU-Richtlinie zur Vorratsspeicherung: Aufklärung von Straftaten oder Aushöhlung von Grundrechten, MMR 2006, Heft 2, S. XIII
Volkmann, Christian
Anmerkung zur Entscheidung des VG Düsseldorf, CR 2005, S. 893-894.
Waldenberger, Arthur
Teledienste, Mediendienste und die „Verantwortlichkeit“ ihrer Anbieter, MMR 1998, S. 124-129.
Westdeutscher Rundfunk (Hrsg.)
Website der Redaktion Quintessenz, Radio WDR 2, http://www.wdr.de/radio/wdr2/quintessenz.
Westphal, Dietrich
Die neue EG-Richtlinie zur Vorratsdatenspeicherung – Privatsphäre und Unternehmerfreiheit unter Sicherheitsdruck, EuZW 2006, S. 555-560.
Wiebe, Andreas
Anmerkung zur Entscheidung des OGH, MMR 2005, S. 827-830.
Wikimedia Foundation (Hrsg.)
Wikipedia – Die freie Enzyklopädie, St. Petersburg (USA), http://de.wikipedia.org.
Wuermeling, Ulrich / Felixberger, Stefan
Fernmeldegeheimnis und Datenschutz im Telekommunikationsgesetz, CR 1997, S. 230-238.
Die Internet-Quellen wurden sämtlich im Februar/März 2007 gesichtet.
“There’s no place like 127.0.0.1“ Fortune Cookie[1]
A. Einführung
I. Gesellschaftliche Relevanz
Erläuterungen darüber, wie sehr das Internet im „Informationszeitalter“ Lebens-, Konsum- und Kommunikationsgewohnheiten der Menschen – oder kurz: die Welt – verändert hat, wirken heute bereits nahezu großväterlich; jedenfalls ist das Internet ein Schlüsselbegriff des vergangenen Jahrhunderts.[2]
Das gilt jedoch nicht für den Datenschutz: Die Diskussion über den Datenschutz im Allgemeinen und über den Schutz der IP-Adresse im Besonderen ist aus zweierlei Hinsicht in jüngerer und jüngster Zeit gesellschaftlich relevant geworden:
Erstens haben die Terroranschläge vom 11. September 2001 in den USA eine weltweite und noch immer andauernde Sicherheitsdiskussion ausgelöst; in Europa hat sich diese Diskussion nach den weiteren Terroranschlägen am 11. März 2004 in Madrid und am 7. Juli 2005 in London verschärft. Die „westliche Welt“ befindet sich in einem anhaltenden Dilemma zwischen der Verteidigung ihrer Grundwerte und Errungenschaften gegen Terroristen und dem Erhalt ihrer Grundwerte und ‑rechte bei ebendieser Verteidigung. Praktisch überall sind strengere Überwachungsmaßnahmen beschlossen worden, auch hinsichtlich der elektronischen Kommunikation. Andere Formen von schwerer Kriminalität, insbesondere der Handel mit Kinderpornografie über das Internet, tragen ebenso dazu bei, den Ruf nach einer stärkeren Überwachung von elektronischer Kommunikation laut werden zu lassen. Tatsächlich sind die rechtlichen Möglichkeiten für die staatliche TK-Überwachung seit der Einführung des G10 im Jahr 1968 stetig ausgedehnt, aber fast nie zurückgenommen worden.[3]
Zweitens haben die Inhaber von geistig-gewerblichen Schutzrechten den politischen und gesellschaftlichen Druck gegen „Raubkopien“[4] und „Piraterie“ erheblich verschärft. Durch Kampagnen wie „Raubkopierer sind Verbrecher“[5] haben sie sich öffentliche Aufmerksamkeit geschaffen. Die Business Software Alliance gibt für das Jahr 2002 in Deutschland einen Schaden allein durch illegale Softwarekopien von einer Milliarde Euro an,[6] die deutschen Phonoverbände sprechen für den Bereich der Musik von einer „dreistelligen Millionenhöhe“.[7] Die Rechteinhaber wünschen sich effektive Möglichkeiten, um gegen „Raubkopierer“ vorzugehen; dazu gehört auch und gerade die Auskunft der Access Provider über die Person hinter einer ermittelten IP-Adresse.
Bei alldem ist das Problembewusstsein der Bürger eher gering. Wer nichts zu verbergen hat, kann auch nichts gegen die Verwendung seiner Daten haben, solange mit den Daten kein offensichtliches Schindluder getrieben wird, lautet eine verbreitete Auffassung.[8] Das mag auch daran liegen, dass die informationelle „Kräfteverteilung“ zwischen dem Access Provider und seinem Kunden ungleichmäßig ist:[9] Der Kunde hat häufig weder technische Kenntnisse darüber, was gespeichert werden kann, noch rechtliche Kenntnisse darüber, was genau gespeichert werden darf; selbst Nachfragen beim Access Provider können falsch beauskunftet werden.
Es sitzen daher sowohl die Access Provider als auch der Staat zwischen den Stühlen: Die Access Provider sind einerseits ihren Kunden zum Schutz ihrer jeweiligen Daten verpflichtet und andererseits kommen Ermittlungsbehörden und Rechteinhaber auf sie zu mit Auskunftsbegehren, die sie nur erfüllen können, wenn sie die Daten, die sie beauskunften sollen, zunächst einmal überhaupt speichern. Der Staat wiederum will einerseits notwendige (und darüber hinaus publikumswirksame) Maßnahmen gegen Kriminalität und Terrorismus treffen, soll aber andererseits die Privatautonomie der Bürger schützen, indem er das informationelle Kräfteungleichgewicht ausgleicht.
II. Jüngste Entwicklung in Rechtsprechung und Praxis
Aufsehen erregt haben vor allem Entscheidungen des AG[10] und des LG[11] Darmstadt gegen T-Online. Nachdem das RP Darmstadt[12] als zuständige Aufsichtsbehörde (§38 BDSG)[13] die Beschwerde eines Kunden von T-Online darüber, dass das Unternehmen die ihm dynamisch zugewiesenen IP-Adressen speicherte, abschlägig beurteilte, begehrte dieser von T-Online im Klageweg die Unterlassung der Speicherung und bekam vom AG im wesentlichen Recht; das LG hat im Berufungsverfahren den Tenor im wesentlichen bestätigt.
Der BfDI hält das Urteil des LG Darmstadt für allgemeingültig.[14] Gleichwohl findet es in der Praxis keine breite Beachtung: Bei einer journalistischen Umfrage[15] um den Jahreswechsel 2006/2007 unter sechzig Access Providern haben zwölf Unternehmen eingeräumt, die dynamisch zugewiesene Adresse mit einer Zuordnung zum Kunden zu speichern, dreißig Unternehmen verweigerten die Auskunft.
Die Zahl von achtzehn Access Providern, die angaben, nicht zu speichern, welchem Kunden sie welche IP-Adresse zuordneten, hat sich nach Reaktionen von Lesern, die Kunden dieser Provider sind und wegen Urheberrechtsverletzungen anhand der IP-Adresse ermittelt und sodann abgemahnt wurden, noch einmal relativiert:[16] Einige Unternehmen mussten einräumen, bei der Umfrage falsche Angaben gemacht zu haben, andere gaben an, sie würden zwar nicht die dynamische IP-Adresse speichern, aber „andere Daten“, die eine Ermittlung des Vertragskunden anhand der bei der DTAG gespeicherten IP-Adresse ermöglichten.
Die DTAG hat – mit technischer Wirkung auch für ihre Reseller – angekündigt, die gespeicherten IP-Adressen nunmehr nur noch sieben Tage zu speichern, anstatt, wie vorher, bis zu achtzig Tagen.[17] Hintergrund dessen ist eine mit der Wirtschaft und dem Referat für TK-Datenschutz bei der Bundesnetzagentur abgestimmte Auffassung des BfDI, die Speicherung bis zu 14 Tagen zuzulassen.[18] Die nunmehr von 80 auf sieben Tage verkürzte Speicherungsfrist ist von der Medienindustrie als „Zumutung“ für den Schutz geistig-gewerblicher Schutzrechte bezeichnet worden.[19]
III. Herangehensweise
Zunächst muss geklärt werden, welches Recht für die Speicherung von IP-Adressen einschlägig ist: Das Telekommunikations- oder das Telemedienrecht? Selbst wenn diese Unterscheidung im Ergebnis keinen Unterschied machen würde,[20] müsste sie dennoch für eine dogmatisch einwandfreie Beurteilung erfolgen. Die Frage, welches Recht anwendbar ist, stellt sich auch deshalb, weil das TKG – trotz einiger Modernisierungen – noch immer auf Telefonie als klassische Form der Telekommunikation fokussiert ist und daher wichtige Fragen der Internet-Kommunikation nur schwer erfassen kann.[21] Darüber hinaus wird zu zeigen sein, dass sich durchaus Unterschiede hinsichtlich der ins einfache Recht hineinstrahlenden einschlägigen Grundrechte ergeben[22] und gerade die jüngsten Gesetzgebungen die Abgrenzung im Detail verändert haben.
Sodann wird zunächst zu zeigen sein, wodurch dynamische IP-Adressen (und deren Zuordnung zu einem bestimmten Kunden) eigentlich vor einer Speicherung geschützt sind. Jeder kann tun und lassen – also auch speichern und löschen – was er will, solange er nicht die Rechte anderer verletzt, Art.2 Abs.1 GG. Damit die Titelfrage nicht mit einem lapidaren „warum denn nicht?“ beantwortet werden kann, müssen diese Rechte anderer zunächst untersucht und aufgezeigt werden, wie das deutsche und das europäische Recht die Internetnutzer grundsätzlich davor schützen, dass die Access Provider die Zuordnung der dynamisch vergebenen IP-Adresse speichern; dazu gehört auch die Einordnung der dynamischen IP-Adresse in die einschlägigen Datenkategorien.
Danach muss geprüft werden, wann und inwieweit dieser Schutz durchbrochen werden kann. Die Interessen der Allgemeinheit, der Access Provider und bestimmter Dritter müssen im Lichte des deutschen und europäischen Rechts gegen die durch die Schutzvorschriften geschützten Interessen der Kunden abgewogen werden. Die rechtliche Systematik gebietet hierbei eine sequentielle Betrachtung der verschiedenen denkbaren Erlaubnistatbestände; diese soll jedoch nicht auf die in der Rechtsprechung entschiedenen Aspekte beschränkt, sondern um neue technische und rechtliche Aspekte erweitert werden.
Bei der Frage, ob eine Speicherung der dynamisch vergebenen IP-Adresse mit Kundenzuordnung zulässig ist, sind zwei grundlegend verschiedene Arten der Speicherung zu unterscheiden: Bei der anlassbezogenen Speicherung werden die an einen vorher bestimmten Kunden vergebenen IP-Adressen gespeichert, während bei der Vorratsspeicherung alle Zuordnungen von IP-Adressen gespeichert werden. Ohne den Ausführungen im Einzelnen vorgreifen zu wollen, ist evident, dass die anlassbezogene Speicherung von Daten eines bestimmten Kunden im Rahmen der allgemeinen Verhältnismäßigkeit weit weniger problematisch erscheint als die Speicherung der Daten aller Kunden auf Vorrat; daher werden Schwerpunkte vor allem hinsichtlich der Vorratsspeicherung gesetzt und für die individuelle Speicherung nur dort, wo es besondere Spannungsverhältnisse gibt.
Am 24.02.2007 ist das TKG-Änderungsgesetz[23] in Kraft getreten, am 1.03.2007 das Telemediengesetz.[24] Da die Änderungen im Hinblick auf verschiedene Teilaspekte der Fragestellung bisher weitgehend ungeklärt sind, wird auch insoweit auf die Änderungen ausführlich einzugehen sein.
B. Grundlagen
I. Zentrale Begriffe
1. Dynamische IP-Adresse
a) Allgemeines
Der Datentransfer im Internet erfolgt praktisch immer bidirektional: Eine Anfrage wird von einem Computer (oder sonstigen Endgerät) an einen anderen Computer gesendet, und dieser beantwortet sodann die Anfrage. Anders als bei klassischen Rundfunkangeboten (z.B. Videotext) werden also nicht Informationen an viele unbestimmte Empfänger geschickt, die sich dann jeweils den gewünschten Teil (z.B. die Videotextseite) unter allen gesendeten Informationen heraussuchen, sondern jede Information wird auf individuellen Abruf individuell versendet.[25]
Dabei werden Datenpakete ausgetauscht, die vom absendenden Computer – dem dezentralen Charakter des Internet folgend – über mehrere Zwischenstationen zum empfangenden Computer gesendet werden. Die Absender- und Empfängerkennzeichnung eines einzelnen Datenpakets (Adressierung) erfolgt dabei über die IP-Adresse. Sie ermöglicht es den Zwischenstationen, das Paket richtig zu leiten („routing“) und letztlich dem Empfängercomputer zuzustellen; dieser wiederum verwendet die IP-Adresse des Absendercomputers, um an diesen eine Antwort zu senden.
IP-Adressen bestehen aus 32 Bits (binären Ziffern), die üblicherweise von und für Menschen in der dotted decimal notation dargestellt werden, also in vier durch Punkte getrennten Zahlen zwischen 0 und 255 (z.B. 130.75.2.91).[26] Es gibt also theoretisch gut vier Milliarden mögliche IP-Adressen, von denen aber über 600 Millionen für besondere Zwecke reserviert sind.[27]
IP-Adressen müssen immer eindeutig sein, das heißt, dass grundsätzlich jeder mit dem Internet verbundene Computer eine eigene, wenigstens für die Dauer der Internetverbindung eindeutige IP-Adresse benötigt.
b) Zuteilung von IP-Adressen
IP-Adressen werden von der IANA[28] an regionale Organisationen – für Europa das RIPE-NCC[29] – und von dort an Großanwender (insbesondere Betreiber von Rechenzentren) und Access Provider zugeteilt.
Server – also Computer im Netz, die ständig verfügbar seien sollen, um Daten mit vielen Benutzern oder anderen Servern auszutauschen – werden üblicherweise in Rechenzentren betrieben und verfügen regelmäßig über eine feste statische IP-Adresse.
Vor allem wegen der Knappheit der verfügbaren IP-Adressen[30] vergeben die Access Provider in Zugangsmodellen für Privat- und kleine Geschäftskunden regelmäßig dynamische IP-Adressen. Da solche Endkunden normalerweise nicht ständig online sind und üblicherweise keine Server betreiben, ist es nicht erforderlich, ihnen eine eigene feste IP-Adresse ständig freizuhalten. Die Access Provider halten für ihre Kunden Adressbereiche („pool“, „range“) bereit; die Größe eines Pools und der Umfang der diesem zugeordneten Einwahlpunkte ist von Provider zu Provider unterschiedlich, es ist aber davon auszugehen, dass ein einzelner Pool aus mindestens 250, üblicherweise aus mehreren tausend IP-Adressen besteht.
Bei der Einwahl in das Internet überprüft der Access Provider die bei der Einwahl übermittelten Zugangskenndaten (Benutzerkennung, Passwort, evtl. Anschlussrufnummer) und teilt dem einwählenden Computer im Erfolgsfall eine IP-Adresse dynamisch aus dem Pool zu; nach Beendigung der Internetverbindung steht die IP-Adresse wieder für die Zuweisung an einen anderen Kunden zur Verfügung.
2. Access Provider
a) Allgemeines
Access Provider sind Unternehmen, die ihren Kunden den Zugang zum Internet aufgrund vertraglicher Beziehungen ermöglichen. Gegenstand des Vertrages ist es, technische Einrichtungen vorzuhalten, die es dem Kunden erlauben, die Konnektivität zum Internet herzustellen, die zum Versand und Empfang von IP-Paketen erforderlich ist.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: IP-Pakete und Vermittlung über den Access Provider
Dazu gehört zunächst das Zurverfügungstellen einer IP-Adresse, die statisch oder dynamisch sein kann. Außerdem ist der Access Provider verpflichtet, über sein Gateway die IP-Pakete des Kunden zu Internet-Knotenpunkten weiterzuleiten bzw. von dort IP-Pakete für den Kunden aufzunehmen und zuzuleiten (Abb. 1).[31]
Der Kunde verfolgt mit dem Access Provider Vertrag zwar den Zweck, Zugang zu Internet-Diensten, insbesondere Seiten im World Wide Web (WWW), zu erlangen,[32] jedoch ist nur die Ermöglichung des Zugangs auf Abruf des Kunden Leistungspflicht des Access Providers, nicht aber der Internet-Dienst selbst.
b) Reseller
Zu unterscheiden ist noch zwischen Access Providern mit eigener technischer Infrastruktur und Resellern: Die DTAG ist von der EU-Kommission verpflichtet worden, Mitbewerbern das Wiederverkaufen (Resale) ihrer ADSL-Anschlüsse zu gestatten.[33] Dabei wird von den Telekom-Servern die Passwort-Authentifizierung (RADIUS -Verfahren) an Server des jeweiligen Resellers weitergeleitet; dabei wird auch die Information über die an den Kunden vergebene dynamische IP-Adresse zwischen den Anmelde-Servern der Telekom und des Resellers ausgetauscht.[34] Ähnliche Resale-Modelle bieten auch andere Gesellschaften an.
In diesem Fall können auch den „mittelbaren Access Provider“, also das Unternehmen, dessen Produkt von einem anderen Unernehmen weiterverkauft wird, die Rechte und Pflichten in Bezug auf die einem bestimmten Kunden eines Resellers zugeordnete IP-Adresse treffen.[35]
3. Flatrate
Flatrates sind Pauschaltarife für den Internetzugang. Verträge über einen Flatrate-Internetzugang beinhalten also eine unlimitierte Nutzung für ein festes Entgelt. Dabei ist zwischen verschiedenen Flatrate-Modellen zu unterscheiden: Es gibt Volumenrates, die zwar eine zeitlich unbegrenzte Nutzung gestatten, aber nur ein bestimmtes monatliches Datenvolumen enthalten, nach dessen Überschreitung zusätzliche Entgelte zu zahlen sind. Weiterhin gibt es „fair flat“ Modelle, mit denen Access Provider sich (und ihre knappe Preiskalkulation) vor „Power Usern“ – also Kunden, die ein sehr hohes Datenvolumen verursachen – schützen; diese gestatten die Überschreitung eines bestimmten Volumens nicht in zwei aufeinanderfolgenden Monaten oder beinhalten ähnliche Einschränkungen.
Echte Flatrates („full flat“) sind hingegen Tarife, die eine weder zeitlich noch volumenmäßig begrenzte Nutzung des Internetzugangs gestatten. Auch full flat Flatrates können aber bestimmte Einschränkungen hinsichtlich der Nutzung, z.B. Verbot der Mehrplatznutzung oder des Betriebs von Servern, beinhalten. Üblich ist auch eine „Zwangstrennung“ der Verbindung nach 24 Stunden. Es entstehen aber keine zusätzlichen zeit- oder datenvolumenabhängigen Kosten bei der Nutzung des Zugangs von einem DSL-Anschluss aus.
Dem hingegen können auch bei echten Flatrate-Verträgen zusätzliche Entgelte fällig werden, wenn der Zugang von mehreren DSL-Anschlüssen gleichzeitig oder per Modem[36] - oder ISDN-Verbindung hergestellt wird.
4. Terminologie im Datenschutz
a) Grundbegriffe des Umgangs mit Daten
Die Terminologie im Datenschutz ist nicht einheitlich, sondern geradezu „babylonisch“[37]: Das BDSG kennt drei Arten des Umgangs, nämlich das Erheben, das Verarbeiten und das Nutzen (§3 Abs.3 bis 5 BDSG), wobei das Erheben die Beschaffung der Daten ist, das Verarbeiten als Unterfälle das Speichern, Verändern, Übermitteln, Sperren und Löschen beinhaltet und das Nutzen gleichsam einen Auffangtatbestand für Vorgänge darstellt, die nicht unter das Verarbeiten fallen.
Im TKG und im TMG (anders noch im TDDSG) hat der Gesetzgeber aus dem „Dreigestirn ein Zweigestirn“[38] gemacht und die bisherigen Umgangsalternativen Verarbeiten und Nutzen zum „Verwenden“ zusammengefasst; eine materielle Änderung soll sich daraus nicht ergeben.[39] Das europäische Recht hingegen verwendet den Begriff „Verarbeitung“ als Einheitsbegriff für allen Umgang mit Daten einschließlich der Erhebung. Im Folgenden soll der Terminologie des TKG und des TMG gefolgt werden.
b) Speichern und Löschen
Unter „Speichern“ und „Aufbewahren“ ist zwar nur der aktive Vorgang des Abspeicherns resp. Entgegennehmens von Daten gemeint; das schiere Aufrechterhalten (Nicht-Löschen) vorhandener Daten ist als solches keine Verwendung.[40] Allerdings entsteht mit Fortfall des Erlaubnistatbestandes für die Speicherung eine Löschungspflicht auch für ursprünglich erlaubtermaßen gespeicherte Daten, §35 Abs.2 Nr.1 BDSG.[41] Eine Erlaubnis für die Verwendung schließt also eine Löschungspflicht aus; andersherum besteht grundsätzlich eine Löschungspflicht, wenn die Verwendung nicht (mehr) erlaubt ist. Es braucht daher nicht unterschieden zu werden zwischen Erlaubnistatbeständen für die Speicherung und für das Nicht-Löschen.
II. Access Provider als Telekommunikations- und Telemediendiensteanbieter
Eine wesentliche Vorfrage für die Beurteilung der Rechte und Pflichten von Access Providern ist, ob sie als TK-Diensteanbieter dem Regime des TKG oder als Telemediendiensteanbieter dem des TMG unterliegen; für die dynamisch zugeteilten IP-Adressen konkretisiert sich die Frage darauf, ob auf sie als spezielle Datenschutzbestimmungen der 4. Abschnitt TMG oder der 7. Teil TKG anwendbar ist. Die Einordnung von Access Providern ist umstritten:
1. Telekommunikationsdiensteanbieter
a) Literatur und Rechtsprechung
TK-Diensteanbieter im Sinne des TKG ist gemäß §3 Nr.6, 24, 27 TKG jeder, der geschäftsmäßig entgeltliche Dienste erbringt, die in der Übertragung von Signalen über Vermittlungsstellen und Leitungen bestehen. Dabei sind alle möglichen technischen Einrichtungen und Systeme erfasst, die der Übermittlung von Nachrichten dienen (§3 Nr.23 TKG), also auch die Computeranlagen und Router in den Einwahlknoten der Access Provider.[42] Im Ergebnis werden nach ganz h.M. die Access Provider als TK-Diensteanbieter klassifiziert.[43]
b) Bundesnetzagentur
Uneinheitlich ist die dahingehende Beurteilung der Bundesnetzagentur (vormals RegTP). Nach ihrer Auffassung sollen Resale-Angebote der DTAG[44] unter Telekommunikation fallen, wohingegen der Internetzugang für Endkunden durch T-Online ein Telemediendienst sei.[45] Die RegTP stellt bei der Unterscheidung darauf ab, dass letztlich der Endkunde die Verbindung aufbaut.[46]
Ähnlich differenziert ein Teil der Literatur[47] danach, ob der Access Provider auf Bitstromebene[48] den Kunden erreicht; nur dann soll es sich um einen TK- und sonst um einen Telemediendiensteanbieter handeln.
c) Gemeinschaftsrechtlicher Hintergrund
Gemäß Art.1 Nr.2 der TK-Richtlinie 2002/77/EG[49] sind elektronische Kommunikationsdienste „gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze bestehen […]; nicht dazu gehören Dienste der Informationsgesellschaft im Sinne von Artikel 1 der Richtlinie 98/34/EG, die nicht ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze bestehen“. Die RL 2002/77/EG hatte zum Zweck, die RL 90/388/EWG[50] zu ersetzen;[51] diese umfasste noch ausdrücklich auch paketorientierte Datendienste (Art.1 Abs.1, 9. Spiegelstrich). Gemäß Erwägungsgrund 6 der RL 2002/77/EG war es Zweck der neuen Begriffsbestimmungen, mit der technischen Entwicklung Schritt zu halten; das Weglassen der ausdrücklichen Nennung paketorientierter Datendienste sollte den Anwendungsbereich nicht verkleinern, sondern der Richtliniengeber hat im Gegenteil mit der neuen Formulierung „elektronische Kommunikationsdienste“ eine technisch neutrale, breitere und entwicklungsoffene Formulierung gewählt.
d) Stellungnahme
Die Differenzierung danach, ob eine eigene technische Infrastruktur auf bestimmten technischen Ebenen besteht, ist nicht überzeugend, denn der Charakter eines Dienstes ändert sich nicht dadurch, dass er weitergehandelt wird. Eine solche Differenzierung würde sich nicht mit der Systematik des Gesetzes vereinbaren lassen: §97 Abs.1 Satz 2 TKG enthält eine Regelung, die eigens für TK-Diensteanbieter gilt, die kein eigenes Netz haben.[52] Die Bundesnetzagentur ist bei ihrer Auffassung daher auch nicht konsequent: §45i TKG will sie auf Access Provider ohne weiteres Anwendung finden lassen;[53] dies wiederum ist auch überzeugend: Es gibt keinen denkbaren Grund dafür, die Geltung der Kunden- und Datenschutzvorschriften des TKG davon abhängig zu machen, auf welcher Ebene der Anbieter eigene technische Infrastruktur betreibt.
Richtig ist zwar, dass letztlich der Endnutzer die Verbindung aufbaut; das kann aber kein ausschlaggebendes Kriterium sein, denn das ist beim klassischen Telefon ebenso der Fall und führt selbstverständlich nicht dazu, dass Endkunden-Telefonate nicht mehr dem TKG unterlägen, wenn der Telefonanbieter kein eigenes Netz hat.[54]
Es kann letztlich nicht darauf ankommen, dass der Reseller die Leistung einerseits mit seinen Kunden anders abrechnet als andererseits mit dem Netzbetreiber. Ein TK-Dienst bleibt aus technischer wie aus rechtlicher Sicht ein TK-Dienst, auch wenn er „zwischengehandelt“ wird.
Weil Access Provider häufig auch andere Dienste zum zu entgeltenden Vertragsbestandteil machen (z.B. Webhosting), mag die Entscheidung der RegTP im Hinblick auf die dort entschiedene Entgeltregulierung noch – mit Mühe, da der Zugang zum Internet entgoltene Hauptleistungspflicht ist und dann der Anwendungsbereich des TKG zwischen Regulierung einerseits und Kunden- und Datenschutz andererseits divergieren würde – nachvollziehbar sein. Die grundlegende Einordnung der Access Provider als TK-Diensteanbieter ist aber richtig, denn sie übertragen mittels technischer Einrichtungen Signale, die der Übermittlung von Nachrichten dienen.
Die Richtlinienvorgabe widerspricht dem nicht, denn selbst wenn – dazu sogleich – Access Provider auch Dienste der Informationsgesellschaft erbringen, so besteht doch die Hauptleistungspflicht in der Erbringung von Telekommunikation.
2. Telemediendiensteanbieter
Während es breite Zustimmung zu der Einordnung der Access Provider als TK-Diensteanbieter gibt, ist umstritten, ob sie zugleich als Telemediendiensteanbieter zu gelten haben, wenn sie – was regelmäßig der Fall ist – kombinierte Dienstleistungen für ihre Kunden zu einem Leistungspaket schnüren.
a) Access Provider als Vermittler
Telemediendiensteanbieter ist gemäß §2 Nr.1 TMG jeder, der Telemedien zur Nutzung bereithält oder Zugang dazu vermittelt. Ob Access Provider den Zugang vermitteln, ist umstritten. Einerseits liegt eine Vermittlung im technischen Sinn einer Vermittlungsstelle (vgl. Abb. 1) vor, sodass Access Provider ohne weiteres unter Vermittler subsumiert werden können.[55]
Andererseits kann dagegen eingewendet werden, dass der Begriff des Vermittelns gerade nicht die rein technische Vermittlung der Daten meint, sondern die Vermittlung bestimmter Inhalte als eigener Dienst des Anbieters. Access Provider stellen mit Zugangsdiensten die Übertragung von Nachrichten sicher und haben nicht Aufbereitung oder Angebot von Inhalten zum Gegenstand; sie sind daher TK- und nicht Telemedien-Anbieter.[56]
b) Schichtenmodell
In der Literatur ist eine funktionale Abgrenzung verbreitet, die auf Grundlage der informationstechnischen Funktion eines Dienstes diesen entweder als Telemediendienst oder TK-Dienst klassifiziert.
Dafür wird übereinstimmend auf ein Schichtenmodell abgestellt,[57] meistens auf das OSI-Referenzmodell[58] (Abb.2).
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Das OSI Schichtenmodell[59]
Das Modell zeigt die übereinanderliegenden „Schichten“ der elektronischen Kommunikation. Die (nicht dargestellte) Schicht 0 wäre das physische Medium, also z.B. der Kupferdraht. Die rein elektrischen oder optischen Signale bilden die 1. Schicht. Die 2. Schicht sichert und kontrolliert diese Übertragung. Die 3. Schicht sorgt dafür, dass im Fall der paketorientierten Kommunikation die Pakete auch auf den richtigen Weg (in Bezug auf die darunterliegenden Ebenen) gebracht werden. Diese Schichten bestehen jeweils zwischen Stellen, die unmittelbar durch das physische Medium verbunden sind. Die 4. Schicht besteht bereits zwischen den Endgeräten und sorgt dafür, dass diese sich um die Vermittlung auf den unteren Schichten nicht „kümmern“ brauchen. Die 5. bis 7. Schicht dienen dem eigentlichen Dienst.
c) Abgrenzung bei Kombinationsangebot
Die funktionale Abgrenzung anhand des Schichtenmodells beantwortet noch nicht die Frage, welches Recht auf ein kombiniertes Leistungspaket angewendet werden soll.
Denkbar ist, nach einer Art Gesamtbetrachtung den Schwerpunkt des Angebots zu ermitteln und dann das schwerpunktmäßig einschlägige Recht allein anzuwenden.[60] Andererseits kann man die Kombination auflösen und jede einzelne Leistung ihrer eigenen Funktion nach betrachten.[61]
aa) Gemeinschaftsrechtlicher Hintergrund
Der mit dem TMG umgesetzten E-Commerce-Richtlinie (ECRL)[62] unterliegen „Dienste der Informationsgesellschaft“. Darunter fällt jede in der Regel gegen Entgelt elektronisch im Fernabsatz[63] und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung, Art.1 Nr.2 der RL 98/34/EG.[64] Das sind namentlich Dienste, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien mittels Geräten für die elektronische Verarbeitung von Daten erbracht werden und bei denen diese Daten auf individuelle Anforderung von einem Ausgangspunkt gesendet und einem Endpunkt empfangen werden. Gemäß Anhang V der RL 98/34/EG sind Datendienste nicht von der Anwendung der Richtlinie ausgenommen.
Der richtlinienkonformen Auslegung soll es auch entsprechen, die Haftungsprivilegierung aus §8 TMG auf Access Provider anzuwenden.[65] Der Erwägungsgrund 42 ECRL spricht ausdrücklich von „Kommunikationsnetzen“, deren Betreiber privilegiert werden sollen, weil ihre Tätigkeit „rein technischer, automatisierter und passiver Art“ ist. Jedenfalls insoweit bezwecken die Vorschriften auch eine Vollharmonisierung, lassen dem nationalen Gesetzgeber also keinen Spielraum.[66] Die ECRL enthält ihrerseits keinen Ausschlusstatbestand für TK-Dienste.
bb) Klärung durch das Telemediengesetz?
In der ursprünglichen Fassung (§§2 Abs.1, 5 Abs.3 TDG1997)[67] ging es um nicht-telekommunikative Übertragung; Teledienste waren definitionsgemäß Dienste, die über Telekommunikation übertragen wurden; bei der Privilegierung der Vermittlung ging es darum, Telediensteanbieter nicht anders zu stellen als TK-Dienste,[68] was voraussetzt, dass es sich bei den Vermittlungsdiensten nicht schon um TK-Dienste handelt.
Das TDG wurde danach für die Umsetzung der ECRL grundlegend überarbeitet.[69] Der Gesetzgeber hat aus der ECRL die Verpflichtung entnommen, auch TK-Diensteanbieter von der Haftung zu befreien.[70]
Der Gesetzgeber hat sodann die Abgrenzungsfrage im TMG lösen wollen und dafür gegenüber dem TDG/TDDSG einige Vorschriften geändert: Dem Geltungsbereich des TDG waren gemäß §2 Abs.4 Nr.1 TDG die TK-Dienste ausdrücklich entzogen; nach §1 Abs.1 TMG sind nunmehr nur noch diejenigen TK-Dienste dem Anwendungsbereich des TMG entzogen, die „ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen“ sowie die telekommunikationsbasierten Mehrwertdienste. Darüber hinaus wurde §11 Abs.3 TMG eingeführt; eine vergleichbare Vorschrift war in §1 TDDSG nicht enthalten. Nach dieser Vorschrift, die nach der amtlichen Begründung der Bundesregierung auf Access Provider zugeschnitten ist,[71] sollen für Access Provider nur bestimmte Datenschutzbestimmungen des TMG gelten, nämlich das Kopplungsverbot des §12 Abs.3 TMG und die Erlaubnis der Speicherung zur Abwehr von Missbrauch (§15 Abs.8 TMG).
Daneben sollen die Datenschutzbestimmungen des TKG für Access Provider „ohnehin“ gelten.[72] Danach soll es also so sein, dass Access Provider grundsätzlich sowohl dem TKG als auch dem TMG unterliegen. Der Bundesrat hat daran Zweifel gehegt und sich in seiner Stellungnahme eine ausdrückliche Klarstellung im Wortlaut gewünscht.[73] Die Bundesregierung ist in ihrer Gegenäußerung diesen Zweifeln mit dem systematischen Argument begegnet, das TMG regle nur das Rechtsverhältnis zwischen Nutzer und Diensteanbieter, während das TKG auch öffentlich-rechtliche Rechtsverhältnisse regelt.[74] Dem dahingehenden Änderungsvorschlag des Bundesrates wurde im Gesetzgebungsverfahren letztlich nicht entsprochen.
d) Diskussion
Die Abgrenzung nach dem Schwerpunkt des Dienstes ist nicht überzeugend, denn sie würde es dem Anbieter erlauben, sich dem Telekommunikationsrecht zu entziehen.[75] Der funktionalen Einzelbetrachtung ist zugute zu halten, dass sie in jedem Fall zufriedenstellende Ergebnisse liefert. Wenn eine einzelne Leistung ein TK-Dienst ist, soll sie dem TK-Recht unterliegen, wenn sie ein Telemediendienst ist, dem Telemedienrecht. Technisch lässt sich anhand des Schichtenmodells jederzeit bestimmen, in welche Schicht eine ein einzelner Vorgang fällt.
aa) Keine schematische Anwendung des OSI-Modells im Recht
Allerdings darf das informationstechnische Schichtenmodell keineswegs schematisch für eine rechtliche Beurteilung herangezogen werden: Auf den ersten Blick wird der IP-Datenverkehr der Transportschicht zugeordnet, was im Grunde auch zutreffend ist, weil Access Provider mit ihren Gateways IP-Pakete routen; das Internet Protocol und seine Adressierung mit IP-Adressen spielen sich insgesamt auf der 3. Schicht ab. Allerdings erfolgt die dynamische Zuordnung einer IP-Adresse bei Verbindungsbeginn über DHCP technisch gesehen in der Anwendungsschicht.[76] Eine schematische Übernahme des OSI-Modells in die rechtlichen Kategorien hätte daher notwendigerweise zur Folge, die Vergabe dynamischer IP-Adressen als Telemediendienst einzustufen. Allerdings darf die Anwendung des Schichtenmodells nicht dazu führen, technische Vorgänge, die völlig ohne Bezug zur Bereitstellung von Inhalten sind und sich praktisch unbemerkt vom Nutzer abspielen, zu Telemediendiensten zu erheben.[77] Es bedarf daher einer rechtlich wertenden Betrachtung, wonach die Vergabe der dynamischen IP-Adresse allein der Ermöglichung des Transports auf der 3. Schicht dient und daher aus rechtlicher Sicht telekommunikationsbezogen ist und kein Telemediendienst.
bb) Systematik des TMG
Ob für Access Provider auch das TMG gilt, ist durch dessen Einführung keine einfachere Frage geworden. §11 Abs.3 TMG beantwortet diese Frage nicht zwingend, denn er gilt erst dann, wenn im Grundsatz zunächst die Anwendbarkeit des TMG gemäß §2 Nr.1 TMG überhaupt eröffnet ist. Allerdings legt §11 Abs.3 TMG aus systematischen Erwägungen eine Auslegung des §2 Nr.1 TMG nahe, die auch Telemedien umfasst, die überwiegend in der telekommunikationsmäßigen Signalübertragung bestehen. Da sich, wie dargestellt, einzelne Leistungen immer eindeutig und gänzlich einem Bereich zuordnen lassen, legen daher die neuen Bestimmungen des TMG eine Entscheidung des Gesetzgebers zugunsten einer Gesamtbetrachtung nahe.
cc) Richtlinienkonformität
Auch die richtlinienkonforme Auslegung gebietet eine Einbeziehung der Access Provider in den Anwendungsbereich des TMG. Ob Access Provider als TK-Diensteanbieter einer ausdrücklichen Haftungsprivilegierung nach nationalem deutschem Recht überhaupt bedürften, mag dahinstehen; jedenfalls ordnet, wie dargelegt, die ECRL eine wirksame (effet utile) – und daher gesetzliche – Haftungsprivilegierung an, von der nach Anlage V der RL 98/34/EG nur Sprachtelefonie ausgenommen ist.[78] Allein eine Auslegung, die die Tätigkeit von Access Providern nicht als „ganz in der Übertragung von Signalen über Telekommunikationsnetze“ (§1 Abs.1 TMG) bestehend einordnet, führt also zu einer ordnungsgemäßen Umsetzung der ECRL. Wäre ein Access Provider – selbst wenn er keine zusätzlichen Dienste anbietet – nicht auch Telemediendiensteanbieter, sondern würde gemäß §1 Abs.1 TMG aus dem Anwendungsbereich des TMG herausfallen, dann würde für ihn nicht mehr die Haftungsprivilegierung des §8 TMG gelten, was richtlinienwidrig wäre.[79]
dd) Ergebnis
Für die dynamisch vergebenen IP-Adressen gelten also als besondere Datenschutzbestimmungen sowohl die des TKG als auch die des TMG, letztere unter der Maßgabe des §11 Abs.3 TMG.
e) Bewertung
Diese Lösung des europäischen und deutschen Gesetzgebers erscheint im Ergebnis wenig einleuchtend. Es spräche nichts dagegen, jede einzelne Leistung unter rechtlicher wertender Anwendung des Schichtenmodells entweder als telemedien- oder als telekommunikationsbezogen einzuordnen oder de lege ferenda die Unterscheidung überhaupt fallen zu lassen und wirklich nur noch funktional zwischen Inhalten einerseits und Speicherung und Transport andererseits abzugrenzen.
C. Die IP-Adresse und ihr rechtlicher Schutz
I. Europäisches Recht
1. Unionsgrundrechte
Grundlagen der EU sind Freiheit, Demokratie, Menschenrechte und Rechtsstaatlichkeit (Art.6 Abs.1 EU). Die Achtung der Grundrechte ist daher als konstitutiv für die Gemeinschaft zu betrachten.[80]
Gemäß Artikel 6 Abs.2 EU achtet die Union die Grundrechte der EMRK[81] sowie die allgemeinen gemeinsamen Grundsätze der Verfassungen der Mitgliedsstaaten. Die Essenz der Grundrechte der Mitgliedsstaaten sind vom Europäischen Parlament, dem Rat und der Kommission in der Charta der Grundrechte[82] niedergelegt worden; diese ist zwar keine Rechtsquelle, kann jedoch als Erkenntnisquelle herangezogen werden.[83]
a) Achtung des Privat- und Familienlebens
Art.7 GRC orientiert sich eng an Art.8 EMRK.[84] Er schützt unter anderem die „Kommunikation“. Damit ist eine technisch offene Formulierung gewählt worden, die sämtliche Arten der Kommunikation umfasst; im Zentrum steht aber die private Kommunikation unter Abwesenden.[85] Zum sachlichen Schutzbereich gehört allerdings nur der kommunikative Übermittlungsvorgang, während die Inhalte durch Art.11 GRC geschützt sind.[86] Der persönliche Schutzbereich umfasst auch juristische Personen.[87]
b) Schutz personenbezogener Daten
Art.8 GRC gibt jeder Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten; der Art.8 GRC stellt ein „innovatives“ Grundrecht dar, weil zwar nicht sein materieller Gehalt, wohl aber seine eigenständige Nennung ohne Entsprechung in der EMRK ist.[88] Das Datenschutz-Grundrecht braucht in der GRC daher nicht – wie in den meisten Rechtsordnungen – aus anderen Grundrechten „zusammengepuzzelt“[89] zu werden.
Der sachliche Schutzbereich umfasst Informationen über eine bestimmte oder bestimmbare Person. Art.8 GRC schützt, vorbehaltlich weitergehenden Schutzes durch Sekundärrecht, nur natürliche Personen.[90]
2. Marktfreiheiten
a) Betroffene Marktfreiheiten
Die Dienstleistungsfreiheit (Art.49 EG) garantiert auch den freien Verkehr von handelsfähigen Informationen unabhängig von einem materiellen Träger,[92] also insbesondere über das Internet. Die Möglichkeiten des E-Commerce, insbesondere Internet-Shops, sorgen dafür, dass die Warenverkehrsfreiheit (Artt.28f. EG) zunehmend von Unternehmen und vor allem auch von Verbrauchern in Anspruch genommen wird. Bestellungen materieller Waren in anderen Mitgliedsstaaten sind durch die elektronische Kommunikation erheblich einfacher und attraktiver geworden. Auch für den innergemeinschaftlichen Kapital- und Zahlungsverkehr (Art.56 EG) spielt die Informationstechnik, insbesondere die Möglichkeit des Online Banking, eine gewichtige Rolle.[91]
b) Funktion des Internet zur Verwirklichung der Freiheiten
Gerade das Internet hat die Ausübung der Marktfreiheiten erheblich vereinfacht und für Verbraucher in einigen Bereichen überhaupt erst praktisch ermöglicht. Das Internet stellt durch einfacheren und breiteren Informationszugang eine höhere Angebots- und Preistransparenz und damit mehr Wettbewerb im Binnenmarkt her. Es hat den innergemeinschaftlichen Handel mit Waren und Dienstleistungen sowie den Kapital- und Zahlungsverkehr erheblich attraktiver gemacht und somit belebt.
Bei der Ausübung der einschlägigen Marktfreiheiten über das Internet erwarten die Marktteilnehmer Sicherheit und Schutz ihrer persönlichen Daten und des Fernmeldegeheimnisses; Unsicherheiten darüber, welche Daten von wem erhoben und verarbeitet werden, könnten die Attraktivitätssteigerung des elektronischen Handels im Binnenmarkt wieder zunichte machen. Könnten Datenschutz und Fernmeldegeheimnis im innergemeinschaftlichen elektronischen Handel nicht gewährleistet werden, würden die Perspektiven für die Entwicklung des Binnenmarktes durch E-Commerce enttäuscht werden.[93]
Dem wird entgegengehalten, dass gerade ein hohes Datenschutzniveau und eine extensive Anwendung des Datenschutzes den Datenverkehr und damit den Dienstleistungsverkehr beeinträchtigen können.[94] Diese Auffassung geht von einer Modellvorstellung aus, die eine lineare Schutzqualität annimmt, bei der ein Datenschutzmodell mit stärkerem Schutz zu einer Behinderung und Reduktion des Datenaustauschs führt.[95]
c) Stellungnahme
Dabei wird übersehen, dass die Grundrechte konstitutiv für die EU und somit auch für die Marktfreiheiten sind.[96] Außerdem kann das Argument aus ökonomischer Perspektive nur so weit reichen, wie der Handel mit persönlichen Daten oder die Dienstleistung der Erhebung und Verarbeitung als solche marktfähig sind. Zwar kann dies durchaus der Fall sein,[97] aber es kann nicht ohne weiteres ein lineares Niveau angenommen werden; bei einem niedrigen Datenschutzniveau besteht keine Bereitschaft, überhaupt Daten zur Verfügung zu stellen. Der fehlende staatliche Datenschutz würde zu Misstrauen und zu verstärktem „Selbstschutz“ führen.
Selbst wenn man annehmen würde, dass stärkerer Datenschutz zu einer Behinderung in dem Marktsegment des Handels mit Daten führen würde, so könnte der Verzicht auf wirksamen Datenschutz zum Schutz dieses Marktsegments vor Beeinträchtigungen sicher nicht die Beeinträchtigungen aufwiegen, die in allen anderen Marktsegmenten durch den Verlust von Sicherheit und Vertrauen entstehen würden.
Im diesem Lichte der Verwirklichung der Marktfreiheiten müssen das EG-Sekundärrecht und dessen nationale Umsetzungen verstanden und ausgelegt werden.
3. Sekundärrecht
a) Datenschutzrichtlinie
Die Datenschutzrichtlinie (DSRL)[98] war der erste Gemeinschaftsrechtsakt, der den Bereich der Grund- und Freiheitsrechte ausgestaltet hat.[99] Die Richtlinie sieht ein Verbotsprinzip mit gesetzlichem Erlaubnisvorbehalt vor: Die Verwendung personenbezogener Daten ist grundsätzlich verboten, wenn sie nicht erlaubt ist (Art.7). Daten sind i.S.d. Richtlinie personenbezogen, wenn durch sie eine Person unmittelbar oder mittelbar identifiziert werden kann (Art.2 Abs.1).
Außerdem enthält die Richtlinie das Erforderlichkeitsprinzip: Art.6 Abs.1 lit. c dürfen personenbezogene Date nur erhoben und verwendet werden, soweit dies zu dem jeweils bestimmten Zweck erforderlich ist.
Die Funktion der DSRL ist eine zweifache: Einerseits will sie Handelshemmnisse beseitigen, die dadurch entstehen, dass die Mitgliedsstaaten unterschiedliche Datenschutzniveaus haben; andererseits soll der Handel mit Informationen selbst auf dem Binnenmarkt ermöglicht werden. Die Richtlinie bezweckt daher eine Vollharmonisierung.[100]
b) Datenschutzrichtlinie für elektronische Kommunikation
Die Datenschutzrichtlinie für elektronische Kommunikation (DSRLeK)[101] wurde im Rahmen des TK-Richtlinienpakets 2002 erlassen und setzt einen technisch neutralen Rahmen für den Datenschutz in öffentlichen Netzwerken, wobei sie auf das Fernmeldegeheimnis gerichtet ist.[102] Sie ersetzt die TK-Datenschutzrichtlinie 97/66/EG; gegenüber dieser eröffnet insbesondere Art.2 lit. b DSRLeK einen Schutzbereich, der sich anstatt auf Anrufe nunmehr auf die sämtliche elektronische Kommunikation bezieht.[103] Gegenüber der DSRL ist die DSRLeK eine Ergänzung (Art.1 Abs.2 DSRLeK); soweit sie sich überschneiden, geht die DSRLeK als lex specialis vor.[104]
Die DSRLeK schreibt das Verbotsprinzip für ihren Bereich hinsichtlich der Verkehrsdaten im Grundsatz fort: Art.6 Abs.1 ordnet eine Löschung der Verkehrsdaten bei Verbindungsende an, soweit nicht ausnahmsweise die weitere Verwendung der Daten nach den Abs.2, 3 und 5 erlaubt ist.
Abs.2 erlaubt die Verwendung für die Gebührenabrechnung gegenüber dem Teilnehmer und die Abrechnung zwischen den TK-Diensteanbietern für die Zusammenschaltungen. Der Erlaubnistatbestand in Abs.3 gestattet die Verwendung der Verkehrsdaten mit der Zustimmung des Teilnehmers für die Vermarktung von Kommunikationsdiensten.
Abs.5 lässt vom eigenen Wortlaut her keinen Erlaubnistatbestand erkennen, sondern schränkt die erlaubte Verarbeitung auf den zuständigen Personenkreis ein. Er enthält jedoch Zwecke (Verkehrsabwicklung, Kundenanfragen, Betrugsermittlung), die sich nicht ohne weiteres aus den eigentlichen Erlaubnistatbeständen ergeben. Es ist im systematischen Zusammenhang davon auszugehen, dass der Richtliniengeber die in Abs.5 genannten Zwecke erlauben will, auch weil der Abs.5 ausdrücklich in Abs.1 als Vorbehalt für die Löschungspflicht genannt wird.
4. Internationales Binnenmarktrecht
Das internationale Binnenmarktrecht wird gebildet durch völkerrechtliche Verträge, die von den Mitgliedsstaaten der EU untereinander und/oder mit Drittstaaten und anderen Subjekten des Völkerrechts geschlossen werden.[105] Das internationale Binnenmarktrecht ist kein Gemeinschafts- oder Unionsrecht, weil es auf der völkerrechtlichen Souveränität der Mitgliedsstaaten (Art.181 Abs.2 EG) beruht, jedoch kann auch das internationale Binnenmarktrecht zur Rechtsvereinheitlichung auf dem gemeinsamen Markt beitragen,[106] wenn alle – oder wenigstens viele – Mitgliedsstaaten sich völkerrechtlich an rechtliche Standards binden.
Hier kommen insbesondere Konventionen des Europarats in Frage. Der Europarat ist ein Völkerrechtssubjekt, das 1949 gegründet wurde. Ihm gehören 46 europäische Staaten, darunter sämtliche Mitgliedsstaaten der EU, an. Konventionen des Europarates können daher internationales Binnenmarktrecht bilden.
a) Europäische Menschenrechtskonvention
aa) Allgemeines
Die EMRK ist die grundlegende und wichtigste Konvention, die im Rahmen des Europarates entstanden ist; sie ist von sämtlichen Mitgliedern des Europarates – und folglich von sämtlichen Mitgliedsstaaten der EU einschließlich Deutschlands – ratifiziert.
Die Gemeinschaft ist selbst nicht Mitglied des Europarates;[107] da sie jedoch von den Mitgliedsstaaten übertragene Gewalt ausübt, achtet sie die EMRK (Art.6 Abs.2 EU).[108] Die EMRK hat daher eine Doppelfunktion als internationales Binnenmarktrecht einerseits und als Rechtserkenntnisquelle[109] für die Unionsgrundrechte – Art.6 EU – andererseits.
bb) Artikel 8
Art.8 EMRK schützt die Kommunikation; darunter fällt auch die elektronische Telekommunikation. Nach der Rechtsprechung es EGMR fallen unter den Schutz von Art.8 EMRK auch diejenigen Daten, die aus der „Messung“ („metering“) der Verbindungen zu Abrechnungszwecken entstehen, also Verkehrsdaten.[110]
Ein Eingriff in das Recht ist nach der Rechtsprechung des EGMR nur dann zulässig, wenn er gesetzlich vorgesehen ist, eines der in Abs.2 genannten Ziele verfolgt und „in einer demokratischen Gesellschaft notwendig“ ist.[111]
b) Datenschutz-Konvention
Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Datenschutz-Konvention) des Europarats vom 28.01.1981 ist ebenfalls (u.a.) von sämtlichen Mitgliedsstaaten der EU ratifiziert worden. Erläuterungen zu der Konvention sind im Explanatory Report[112] hinterlegt.
Die Konvention wurde im Lichte der sich entwickelnden elektronischen Datenverarbeitung beschlossen und bezieht sich auf die automatische Verarbeitung personenbezogener Daten.[113] Für die Mitgliedsstaaten der EU hat jedoch die DSRL die Mindeststandards der Konvention vollständig „aufgesogen“,[114] sodass die Konvention insoweit keine eigene binnenmarktrechtliche Relevanz mehr hat.
II. Deutsches Recht
1. Grundrechte
Grundrechte sind in erster Linie Abwehrrechte des Einzelnen gegen den Staat. Nach der Privatisierung der Bundespost erbringt der Staat jedoch selbst praktisch keine öffentlichen TK-Dienstleistungen mehr. Grundrechte sind aber auch objektive Prinzipien der Rechtsordnung und bilden eine Art ordre public, dessen Wertmaßstäbe auch im Privatrecht zu berücksichtigen sind; die Grundrechte wirken beeinflussend und gegebenenfalls modifizierend auf das zwischen Privaten geltende einfache Recht.[115] Daher entfaltet die einschlägigen Grundrechte ihre Wirkung einerseits für die staatliche Telekommunikationsüberwachung und andererseits als objektiver Rechtsrahmen, der den Gesetzgeber verpflichtet, den Schutz der Grundrechte durch Private gesetzlich anzuordnen.[116]
a) Informationelle Selbstbestimmung
aa) Entstehung
Das Recht auf informationelle Selbstbestimmung ist als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art.2 Abs.1 i.V.m. Art.1 Abs.1 GG vom BVerfG im Volkszählungsurteil[117] entwickelt worden; das Urteil wird bisweilen als „Bergpredigt“ des BVerfG zum Thema Datenschutz bezeichnet.[118] Teile der Literatur wollen das Grundrecht auch aus weiteren Grundrechten (Artt.5 Abs.1, 8 Abs.1, 9 Abs.1, 10 Abs.1; 13) konstruieren.[119]
bb) Inhalt und Schranken
Das Grundrecht auf informationelle Selbstbestimmung gewährleistet „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.[120] Da es Ausprägung des allgemeinen Persönlichkeitsrechts ist, ist es auf juristische Personen unanwendbar.
Es darf nur im überwiegenden Allgemeininteresse durch ein Gesetz eingeschränkt werden; die Einschränkung muss verhältnismäßig und bereichsspezifisch sein und ihren Zweck präzise erkennbar werden lassen.[121]
b) Fernmeldegeheimnis
aa) Historische Entwicklung
Telekommunikation hat sich aus wirtschaftlicher Perspektive aus der traditionellen Briefpost entwickelt – fast überall sind TK-Dienstleistungen zunächst von den Postdiensten entwickelt und angeboten worden; damit ist die rechtliche Entwicklung des Fernmeldegeheimnisses einhergegangen: Es ist aus dem Postgeheimnis entstanden, die tatsächlichen Bedürfnisse und rechtlichen Aspekte haben sich gleichermaßen ausgeweitet.[122]
Dabei ist es kein neuer Gedanke, nicht nur den Inhalt der Kommunikation, sondern auch deren Umstände zu schützen: Bereits im 16. Jahrhundert war es Kurierboten nicht nur verboten, die Briefumschläge zu öffnen, sondern auch, Dritten die auf den Kuverts verzeichneten Anschriften zu zeigen.[123] Auch diese Prinzipien haben bis in die heutige Zeit überlebt und finden sich hinsichtlich moderner Telekommunikation als Schutz von Verkehrsdaten wieder.
bb) Inhalt und Schranken
Das Fernmeldegeheimnis trägt der besonderen Verletzlichkeit Rechnung, die über eine größere räumliche Distanz geführte Kommunikation augrund des Nachrichtenweges mit sich bringt.[124] Der Schutz des Fernmeldegeheimnisses aus Art.10 Abs.1 GG umfasst nicht nur den Inhalt der Kommunikation, sondern auch die Umstände einer stattgefundenen oder auch nur versuchten Telekommunikation.[125] Darunter fällt insbesondere, ob und wann eine Telekommunikationsverbindung zwischen welchen Personen zustande gekommen ist.[126] Konkret sind das bei Telefongesprächen die Rufnummern der beiden beteiligten Teilnehmer, die Uhrzeit und die Dauer des Gesprächs; umfasst sind also die Verkehrsdaten im Sinne des §3 Nr.30 TKG.[127] Das Fernmeldegeheimnis aus Art.10 Abs.1 GG ist gemäß Art.19 Abs.3 GG seinem Wesen nach auch auf juristische Personen anwendbar.[128]
Gemäß Art.10 Abs.2 GG darf das Fernmeldegeheimnis nur aufgrund eines Gesetzes eingeschränkt werden. Das Gesetz muss materiell verhältnismäßig, also für einen legitimen Zweck geeignet und erforderlich sowie angemessen sein und formell gemäß Art.19 Abs.1 GG das Fernmeldegeheimnis ausdrücklich beschränken.
c) Verhältnis der Grundrechte zueinander
Die Verkehrsdaten in der Telekommunikation sind regelmäßig auch personenbezogene Daten, sodass sich die Frage stellt, welches Grundrecht einschlägig ist. Soweit sich das Recht auf informationelle Selbstbestimmung und das Fernmeldegeheimnis überschneiden, geht letzteres als spezielleres Grundrecht vor.[129]
2. Einfachgesetzlicher Schutz
a) Datenschutzrecht
Das BDSG schützt personenbezogene Daten, also Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (§3 Abs.1). Für die Erhebung und Verwendung von Daten gelten bestimmte Grundsätze, vor allem das Verbotsprinzip mit Erlaubnisvorbehalt und das Prinzip der Datenvermeidung und –sparsamkeit.
Das BDSG ist ausdrücklich subsidiär zu besonderen Datenschutzbestimmungen, §1 Abs.3 Satz 1 BDSG. Dabei tritt es aber nur hinter die spezielleren Vorschriften zurück, „soweit“ diese eine Regelung exakt für einen sonst im BDSG geregelten Sachverhalt treffen.[130]
aa) Verbotsprinzip mit Erlaubnisvorbehalt
§4 Abs.1 BDSG errichtet, entsprechend der Vorgabe der DSRL,[131] ein Verbotsprinzip mit Erlaubnisvorbehalt. Die Erhebung und Verwendung persönlicher Daten ist unzulässig, wenn nicht das BDSG selbst oder eine andere Rechtsvorschrift sie erlaubt oder eine Einwilligung vorliegt.
bb) Datenvermeidung und Datensparsamkeit
§3a BDSG schützt bereits bei der Gestaltung und Auswahl von Datenverarbeitungssystemen die informationelle Selbstbestimmung: Technische Systeme sollen von vornherein so gestaltet werden, dass die Erhebung und Verwendung personenbezogener Daten nicht erfolgen muss bzw. wenn sie doch erfolgen muss, dann mit so wenigen Daten wie möglich. Die Regelung ist daher eine präzisierende Umsetzung des Erforderlichkeitsgrundsatzes der DSRL.[132]
b) Telekommunikationsrecht
aa) Telekommunikations-Datenschutz
Das am 26.06.2004 in Kraft getretene „neue“ TKG hat in seinem 7. Teil (§§88 bis 115) die Datenschutzbestimmungen in Gesetzesrang erhoben, die bis dahin durch die TDSV geregelt waren. Mit dem 7. Teil TKG will der Gesetzgeber einerseits seine Verpflichtung zum Schutz des Fernmeldegeheimnisses und der informationellen Selbstbestimmung durch Private auf dem liberalisierten Markt aus Art.10 Abs.1 GG[133] erfüllen und andererseits die DSRLeK in nationales deutsches Recht umsetzen;[134] dazu ist der Bundesgesetzgeber gemäß Art.73 Abs.1 Nr.7 GG ausschließlich befugt.
bb) Schutz juristischer Personen
Grundsätzlich schützt der Datenschutz nur natürliche Personen (vgl. §3 Abs.1 BDSG). Dies soll ebenso für den TK-Datenschutz gelten: §91 Abs.1 Satz 2 TKG lasse den TK-Datenschutz für juristische Personen nur insoweit gelten, wie die Daten dem Fernmeldegeheimnis unterliegen, also Verkehrsdaten sind; im Umkehrschluss seien Daten, die nicht dem Fernmeldegeheimnis unterliegen, von juristischen Personen nicht besonders geschützt.[135]
Anderes könnte aus dem Wortlaut des §91 Abs.1 Satz 1 i.V.m. §3 Nr.20 TKG geschlossen werden: Der 2. Abschnitt im 7. Teil TKG („Datenschutz“) soll für die personenbezogenen Daten der Teilnehmer und Nutzer gelten; Teilnehmer sind gemäß §3 Nr.20 TKG auch juristische Personen. Zieht man allerdings wiederum für die Definition der personenbezogenen Daten in §3 Abs.1 BDSG heran, so läuft der Schutz personenbezogener Daten für juristische Personen als TK-Teilnehmer leer, da es definitionsgemäß keine personenbezogenen Daten über juristische Personen gibt.
Daher hängt die Frage, ob dynamische IP-Adressen bei juristischen Personen als TK-Teilnehmer überhaupt geschützt sind, davon ab, ob sie als Verkehrsdaten dem Fernmeldegeheimnis des Art.10 Abs.1 GG unterfallen.
c) Telemedienrecht
Am 01.03.2007 ist das Telemediengesetz in Kraft getreten. Es ersetzt hinsichtlich des Bundesrechts das TDG und das TDDSG und hinsichtlich des Landesrechts den MDStV. Der Gesetzgeber regelt damit endlich die ohnehin schon immer und wegen des Konvergenzprozesses der Medien erst Recht schwer voneinander abzugrenzenden Bereiche Teledienste und Mediendienste einheitlicher. Die Abgrenzung zwischen Bundes- und Länderzuständigkeit richtet sich nicht mehr nach Art oder Technik der Verbreitung, sondern an den inhaltlichen Zielen.[136]
Das Telemediengesetz regelt daher in Bundeszuständigkeit die wirtschaftsbezogenen Bestimmungen, im wesentlichen Zulassungsfreiheit (§4), Herkunftslandprinzip (§3), Haftung (§§7 bis 10), Informationspflichten (§§5f.) und Datenschutz (§§11 bis 15). Es ist gegenüber der „Summe“ aus TDG, TDDSG und MDStV materiell nur wenig verändert worden; insbesondere bemüht sich der Gesetzgeber nunmehr um eine Klärung der Abgrenzung zwischen Telekommunikations- und Telemediendiensteanbietern (§11 Abs.3).[137]
d) Europäische Menschenrechtskonvention
Im deutschen Recht ist die EMRK in ihrer Auslegung durch den EGMR im Rahmen methodisch vertretbarer Gesetzesauslegung einfachgesetzlich zu berücksichtigen.[138]
III. Die IP-Adresse als personenbezogenes Datum
Personenbezogene Daten sind Angaben über die Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, §3 Abs.1 BDSG. Dynamische IP-Adressen sind nur dann personenbeziehbar, wenn die Zusammenführung mit den personenbezogenen Daten des Nutzers rechtlich und praktisch möglich ist.[139] Der Personenbezug eines Datums kann direkt sein oder auch indirekt, wenn es wahrscheinlich ist, dass ein Personenbezug hergestellt werden kann, indem die indirekten Daten in einem weiteren Zuordnungsschritt abgeglichen werden.[140]
1. Bestimmbarkeit des Teilnehmers
Ob IP-Adressen Personenbezug haben, ist hinsichtlich der Speicherung durch Websitebetreiber umstritten; es kommt darauf an, ob man die Zuordnung der IP-Adresse zum Nutzer durch einen Abgleich beim Access Provider für rechtlich und tatsächlich möglich hält. Der Personenbezug kann jedoch relativ sein, das heißt, er hängt von der konkret datenverarbeitenden Stelle ab.[141]
Für Access Provider stellt sich die Frage nicht: Wenn er speichert, welchem seiner Kunden er eine dynamische IP-Adresse zugeordnet hat, dann handelt es sich in Bezug auf ihn um ein personenbezogenes Datum. Regelmäßig wird der Access Provider die IP-Adresse nicht unmittelbar mit dem Namen des Kunden speichern, sondern mit einem Bestandsdatum (Kunden-, Vertrags- oder Anschlussnummer o.ä.). Durch die Zusammenführung des Datensatzes, der die IP-Adresszuteilung enthält, und des Bestandsdatensatzes ist ihm aber die Zuordnung problemlos möglich.
2. Bestimmbarkeit des Nutzers
Der Access Provider kann gleichwohl nur seinen Vertragskunden, also den TK-Teilnehmer, identifizieren. Allein anhand der bei ihm gespeicherten Daten kann er nicht feststellen, welcher Mensch tatsächlich zu welchem Zeitpunkt vor dem Computer des Teilnehmers gesessen hat; denkbar ist sogar, dass der Computer eine vorprogrammierte Aufgabe durchgeführt hat, ohne dass überhaupt ein Mensch ihn zu der Zeit bedient hat (z.B. automatische Suche nach Software- Updates).
Allerdings ist es bei privaten Teilnehmern wahrscheinlich, dass der Teilnehmer auch der Nutzer ist; andernfalls ist wahrscheinlich, dass der Teilnehmer den Nutzer identifizieren kann, sodass eine Bestimmbarkeit des konkreten Nutzers regelmäßig hinreichend wahrscheinlich ist; eine im Einzelfall bei einer bestimmten IP-Adresse möglicherweise vorliegende Unwahrscheinlichkeit kann der Access Provider im Rahmen einer automatisierten Speicherung nicht erkennen, sodass diese Fälle für die allgemeine Praxis der Access Provider nicht relevant sind. Daher ist weithin anerkannt, dass die IP-Adresse in den Händen des Access Providers ein personenbezogenes Datum ist.[142]
IV. Die IP-Adresse als Verkehrsdatum
1. Definition und Funktion
a) Legaldefinition
Gemäß §3 Nr.30 TKG sind Verkehrsdaten Daten, die bei der Erbringung des TK-Dienstes erhoben oder verwendet werden. Nach Art.2 lit. b DSRLeK sind Verkehrsdaten diejenigen Daten, die für die Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zu Abrechnungszwecken erhoben oder verwendet werden
Abzugrenzen sind Verkehrsdaten insbesondere von Bestandsdaten; dies sind Daten des Teilnehmers, die erhoben werden für die Begründung, Abwicklung oder Beendigung des Vertragsverhältnisses (§3 Nr.3 TKG).
Bestandsdaten betreffen also das (Rahmen-) Vertragsverhältnis zwischen dem Teilnehmer und dem TK-Diensteanbieter, während Verkehrsdaten im Zusammenhang mit einer einzelnen TK-Verbindung stehen.
b) Entstehung von Verkehrsdaten
aa) Prinzip der Verkehrsdaten in der Telefonie
Welche Daten bei der Erbringung von TK-Diensten erhoben und verwendet werden und daher Verkehrsdaten im Sinne des TKG sind und als Umstände der Telekommunikation in den Schutzbereich des Fernmeldegeheimnisses fallen, lässt sich zunächst anhand der klassischen Telefonie zeigen:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3: Entstehung von Verkehrsdaten bei Telefongesprächen[143]
Ein Telefongespräch beginnt mit dem Abheben des Hörers. Dann wählt der anrufende die Nummer des Angerufenen, wodurch im TK-Netz die Route für die Verbindung ermittelt wird. Schließlich klingelt es beim Angerufenen. Erst wenn dieser abhebt, kommt eine Verbindung (Gespräch) zustande; dieses endet, wenn einer der Gesprächspartner auflegt, was dem anderen wiederum signalisiert wird (Abb. 3).
Zu unterscheiden ist dabei das eigentliche Telefongespräch (Schritt 3) von den Schritten, die der Signalisierung dienen (Schritte 1, 2 und 4). In digitalen Telefonnetzen werden die Informationen für die Signalisierung in getrennten Kanälen übertragen.[144]
Das Modell zeigt auch die Schutzbedürftigkeit dieser Informationen: Würde man allein bei Schritt 3 das Gespräch abhören, wüsste man nicht ohne weiteres, wer mit wem spricht. Durch die Kenntnis der Verkehrsdaten werden also die über den Inhalt der Kommunikation gewonnenen Informationen deutlich sensibler, weil sie zuordenbar werden.
Wenn man nicht nur einen einzelnen Verkehrsdatensatz betrachtet, sondern eine ganze Sammlung solcher Datensätze, kann man darüber hinaus Erkenntnisse über Kommunikationsgewohnheiten einzelner Personen gewinnen und daraus Rückschlüsse auf persönliche Bindungen und individuelle Lebensgewohnheiten ziehen.[145]
bb) Übertragbarkeit der Prinzipien auf das Internet
Die Kommunikation im Internet läuft über verschiedene Schichten (vgl. Abb. 2). Dadurch bestehen mehrere Verbindungen:
Erstens wird eine Verbindung vom Nutzer zum Access Provider aufgebaut. Der Computer des Nutzers verbindet sich mit dem Anmeldungsserver des Access Providers, übermittelt die Zugangsdaten (Kennung, Passwort) und erhält im Erfolgsfall eine dynamische IP-Adresse.
Zweitens kann der Nutzer über die Verbindung zum Access Provider nun Verbindungen zu Gegenstellen im Internet aufbauen und entgegennehmen, wobei die IP-Adresse dazu geeignet ist, Daten an den Computer des Nutzers zu senden.
Die Zuordnung der IP-Adresse wird also überhaupt erst in Zusammenhang mit dem Aufbau einer einzelnen TK-Verbindung, nämlich der zum Access Provider, generiert und erhoben.
Durch die Auswertung der Zuordnungsdaten von IP-Adressen können ähnliche Erkenntnisse wie aus den Verkehrsdaten aus der Telefonie gewonnen werden; die Auswertung der IP-Adressen von Emails erlauben z.B. nicht bloß, wer mit wem wann kommuniziert hat. Die Daten können darüber hinaus analysiert werden, um individuelle Kommunikationsbeziehungen zu erfassen; dazu können die Verkehrsdaten in Matrizen dargestellt werden, wodurch weitere Informationen gewonnen werden können, wie z.B. die Information, ob die Kommunikation zwischen bestimmten Adressen asymmetrisch oder wechselseitig erfolgte.[146]
Insoweit stimmen also dynamische IP-Adressen mit Telefonie-Verkehrsdaten überein, sodass es naheliegt, auch jene als Verkehrsdaten einzuordnen.
Ein Unterschied besteht allerdings darin, dass IP-Datentransfer nicht zwischen Verkehrs- und Inhaltsdaten unterscheidet. IP-Pakete haben zwar getrennte Bereiche für „Kopfdaten“ und Inhalte (siehe Abb. 1), jedoch sind diese Bereiche – anders als beim Postpaket – eben nicht voneinander getrennt; man muss IP-Pakete nicht „öffnen“, um den Inhalt zu sehen, sondern Inhalt und Verkehrsdaten sind technisch nicht trennbar, ohne dass die Zuordnung zueinander entfiele. Die Verkehrsdaten werden also, anders als bei der Telefonie, immer mitübertragen; eine Ansicht der IP-Pakete ermöglicht immer auch festzustellen, von welcher Adresse sie an welche Adresse gesendet werden. Die IP-Adresse ist zugleich für den Kommunikationspartner technisch sichtbar. Ein dem entsprechendes Datum gibt es in der Telefonie nicht.
Letzteres rückt aber die IP-Adresse im Vergleich zu den Telefonie-Verkehrsdaten allenfalls näher an die Kommunikationsinhalte, jedenfalls aber nicht an die Kategorie der Bestandsdaten. Im Hinblick auf die Legaldefinition und den Vergleich zu den „klassischen“ Verkehrsdaten ist die dynamische IP-Adresse daher als Verkehrsdatum einzuordnen.
2. Bewertung im Hinblick auf Auskunftsbegehren
Der ganz überwiegende Teil der Judikatur zu dieser Frage betrifft den Aspekt, ob für die Auskunft über den Namen des Teilnehmers hinter einer zu einem bestimmten Zeitpunkt im Internet verwendeten IP-Adresse an die Staatsanwaltschaften ein einfaches Auskunftsbegehren gemäß §113 TKG genügt oder ein richterlicher Beschluss gemäß §§100g, 100h StPO herbeigeführt werden muss. Ersteres ist der Fall, wenn die Auskunft auf Bestandsdaten gerichtet ist, letzteres ist erforderlich für die Beauskunftung von Verkehrsdaten.
a) Klare Einordnung
Einige Gerichte[147] und die überwiegende Literatur[148] haben sich klar festgelegt und die Auskunft als solche über eine Kennung gemäß §100g Abs.3 Nr.1 StPO eingeordnet und somit dem Schutzbereich des Art.10 Abs.1 GG unterworfen, was eine Einordnung als Verkehrsdatum einschließt.
b) Unterscheidung zwischen den Daten und Auskunft
Der überwiegende Teil der Rechtsprechung[149] und ein Teil des Schrifttums[150] haben hingegen die Auskunft als auf ein Bestandsdatum hin gerichtet eingeordnet. Allerdings muss hier genau differenziert werden: Die Gerichte beurteilen zwar die Auskunft über den Namen hinter einer IP-Adresse als Auskunft über Bestandsdaten, sie wollen jedoch nicht den Charakter der IP-Adresse als solcher als Verkehrsdatum verkennen; es handele sich also um eine Auskunft über ein Bestandsdatum, für die der Access Provider lediglich intern Verkehrsdaten verarbeiten müsse.[151]
aa) Widersprüchlichkeit
Gleichwohl finden sich in den jeweiligen Begründungen auch Argumente, die (unabsichtlich?) an der Qualität der IP-Adresse als Verkehrsdatum zweifeln lassen: Das LG Stuttgart vertritt die Auffassung, dass eine dynamische IP-Adresse mit der Angabe eines entsprechenden Zeitpunkts einer statischen IP-Adresse entspricht; auch bei der Auskunft über die Inhaber von Telefon- oder Mobilfunkanschlüssen und statischen IP-Adressen spiele der Zeitpunkt der Zuordnung eine – wenn im Vergleich zur dynamischen IP-Adresse weniger bedeutsame – Rolle.[152]
Diese Entscheidungen sind bereits in sich nicht schlüssig. Wenn eine dynamische IP-Adresse mit Zeitangabe einer statischen IP-Adresse – also einem Bestandsdatum – entspricht, warum soll dann die Verarbeitung dieser Daten durch die Access Provider eine Verarbeitung von Verkehrsdaten sein, die in den Entscheidungen nur deswegen nicht zum Richtervorbehalt führt, weil sie eben beim Access Provider stattfindet und nicht in die Kenntnis der Ermittlungsbehörden gelangt?
bb) Stellungnahme
Jedenfalls ist die Auffassung unzutreffend. Mit umgekehrter Argumentation ließe sich auch sagen, dass auch Telefonnummern und statische IP-Adressen „dynamisch“ vergeben werden und Verkehrsdaten wären. Auch Telefonnummern und statische IP-Adressen werden zugeteilt und können teilweise sogar unabhängig vom Anschluss und vom Bestand des zugrundeliegenden Vertrags hinzu- und abbestellt werden.[153] Man könnte also sagen, dass sich die „dynamische“ Zuteilung von Telefonnummern nur durch den längeren Zuteilungszeitraum von der Zuteilung dynamischer IP-Adressen unterscheidet.
Zutreffend sind diese Überspitzungen – in beide Richtungen – nicht: Telefonnummern und statische IP-Adressen werden manuell für eine Vielzahl von TK-Verbindungen vergeben und ermöglichen überhaupt erst den bezweckten wiederholten Verbindungsaufbau unter der jeweiligen Nummer. Zweck von Telefonnummern und statischen IP-Adressen ist regelmäßig, unter einer fixen Kennung erreichbar zu sein und häufig auch, sich mit der festen Kennung gegenüber der Gegenstelle auszuweisen. Der Access Provider muss die statische IP-Adresse mit Kundenbezug speichern, um den Vertrag überhaupt durchführen zu können. Eine dynamische IP-Adresse wird beim Aufbau der Verbindung zum Access Provider erst vergeben und dient nur dieser einen Verbindung. Die Gegenmeinung verkennt erstens, dass der Kunde bei einer dynamischen IP-Adresse gar kein Interesse an dem – und schon gar keinen Anspruch auf den – Bestand der bestimmten ihm zugeteilten IP-Adresse hat.
Zweitens wird verkannt, dass auch bereits die Einwahl ins Internet, also der Aufbau einer Verbindung zwischen Kunde und Access Provider, ein Telekommunikationsvorgang ist, und nicht erst der Aufruf bestimmter Internetseiten oder –dienste durch den Nutzer.[154] Richtig ist zwar, dass aus technischer Sicht die Vergabe der dynamischen IP-Adresse bereits im Rahmen der Telekommunikation zwischen dem Access Provider und dem Kunden vergeben wird – also aus technischer Sicht Inhalt und nicht Umstand auf dieser Ebene der Kommunikation ist – jedoch darf das OSI-Schichtenmodell auf rechtliche Fragestellungen nicht schematisch, sondern muss wertend angewandt werden.[155]
V. Die IP-Adresse als Standortdatum?
Bisher unerörtert ist die Frage, ob eine dynamisch vergebene IP-Adresse auch ein Standortdatum im Sinne des §3 Nr.19 TKG ist. Danach sind Standortdaten Daten, die den Standort des Endgeräts angeben. Mit §§3 Nr.19, 96 TKG will der Bundesgesetzgeber speziell Art.9 DSRLeK umsetzen; bei richtlinienkonformer Auslegung ist daher auch Erwägungsgrund 14 DSRLeK zu berücksichtigen: Für das Vorliegen eines Standortdatums genügt es, wenn sich das Endgerät dadurch einem Netzzugangspunkt zuordnen lässt.
1. Einordnung als Standortdatum
Die DTAG betreibt mit ihrem Geschäftsbereich T-Online ein dichtes Netz an Zugangspunkten,[156] bundesweit 73 Stück.[157] Jeder Zugangspunkt verfügt über einen eigenen IP-Adresspool, sodass die vergebenen dynamischen IP-Adressen abhängig vom Zugangspunkt sind. Sie lassen sich auch rückwärts zum jeweiligen Zugangspunkt hin auflösen;[158] es ergibt sich dann eine Domäne als einer der letzten hops, die das Kfz-Kennzeichen des Einwahlortes enthält, z.B. h-eb1. h.de.net.dtag.de für den Zugangspunkt Hannover. Zugleich ist aber der Flatrate-Vertrag regelmäßig nicht an einen bestimmten Anschluss gebunden: Die Einwahl ist mit der Zugangskennung von jedem Anschluss in Deutschland möglich. Bei Access Providern, die – wie die DTAG – bestimmte IP-Adresspools an bestimmte Zugangspunkte gebunden haben, ist die dynamisch vergebene IP-Adresse demnach auch ein Standortdatum.
2. Rechtsfolgen der Einordnung
a) Möglicher Widerspruch
Daraus ergibt sich ein möglicher Widerspruch in §96 Abs.1 Nr.1 TKG: Standortdaten dürfen nach der abschließenden[159] Aufzählung auch für die dort bezeichneten Zwecke nur erhoben und verwendet werden, wenn es sich um einen mobilen Anschluss handelt. Die grammatische Auslegung der Vorschrift lässt zweierlei Schlüsse zu: Entweder es sollen neben den zuerst bezeichneten Daten auch sonstige Standortdaten verwendet werden dürfen, wenn es sich um einen mobilen Anschluss handelt – oder alle Standortdaten dürfen nur bei mobilen Anschlüssen verwendet werden.
aa) Mobile Anschlüsse
Internet-Anschlüsse sind regelmäßig keine mobilen Anschlüsse. Etwas anderes gilt nur bei Internetnutzung über Mobilfunknetze und bei den aufkommenden Hotspot-Flatrates,[160] die es dem Kunden erlauben, sich in vielen Gaststätten und Hotels per Funknetzwerk mit dem Internet zu verbinden, sicher nicht jedoch bei leitungsgebundenen DSL-Anschlüssen.
bb) Dienst mit Zusatznutzen
Gemäß §98 TKG wäre eine Verarbeitung[161] von Standortdaten noch zulässig, wenn sie einem Dienst mit Zusatznutzen dienen würde und eine Einwilligung oder Anonymisierung vorliegt, jedoch bringt weder die IP-Adresse als solche noch ihre örtliche Zuordnung einen erkennbaren Zusatznutzen; die IP-Adresse als solche ist im Gegenteil schon für den eigentlichen Hauptnutzen, nämlich den Zugang zum Internet erforderlich. Soweit die örtliche Zuordnung es z.B. Websitebetreibern erlaubt, die Inhalte nach regionaler Herkunft des Nutzers anzupassen, erbringt allenfalls jener einen Dienst mit Zusatznutzen, nicht aber der Access Provider.
cc) Mögliche Rechtsfolge
Würde §96 Abs.1 Nr.1 TKG also die Verwendung aller Standortdaten für immobile Anschlüsse nicht erlauben, dürfte eine Verwendung von ortsgebundenen dynamischen IP-Adressen – außer bei den vorgenannten mobilen Anschlüssen – nicht einmal für die in §96 TKG bezeichneten Zwecke stattfinden.
b) Diskussion
aa) Änderung des Wortlauts gegenüber der TDSV
Der gegenüber der TDSV in §96 Abs.1 Nr.1 angepasste Wortlaut „beteiligte Anschlüsse“ (statt §5 Abs.1 Nr.1 TDSV: „anrufender/angerufener Anschluss“) soll die Anwendung auf IP-Adressen nahelegen,[162] sodass eine gemäß §96 TKG zweckgebundene Erhebung und Verwendung möglich ist. Allerdings ist dieses – für sich genommen zutreffende – Argument auf IP-Adressen insgesamt gerichtet und nicht speziell auf solche, die einen Standort angeben.
bb) Verstoß gegen Sparsamkeitsgebot
Durch die ortsgebundene Zuteilung gibt der Access Provider dem Datum IP-Adresse unnötigerweise überhaupt erst seine Qualität als Standortdatum. Es ließe sich daher argumentieren, dass die Anbieter, die dynamische IP-Adressen ortsgebunden zuteilen, sich die Erlaubnis aus §96 TKG abschneiden und sich dadurch sozusagen selbst dafür sanktionieren, dass sie mit ihrer Praxis entgegen dem Sparsamkeitsgebot aus §3a BDSG Standortdaten überhaupt erst erheben.
c) Gemeinschaftsrechtlicher Hintergrund
Nach Erwägungsgrund 35 DSRLeK sind Standortdaten dann Verkehrsdaten, wenn sie die Nachrichtenübertragung ermöglichen. Die Zuweisung einer dynamischen IP-Adresse ermöglicht erst die Kommunikation. Die IP-Adresse ist also zugleich Verkehrsdatum und Standortdatum.
Art.9 DSRLeK ist überschrieben mit „Andere Standortdaten als Verkehrsdaten“. Auch wenn Art.9 DSRLeK punktgenau nur in §98 TKG umgesetzt wird und nicht im letzten Halbsatz in §96 Abs.1 Nr.1 TKG, der in der Richtlinie keine genaue Entsprechung findet, so ist doch anzunehmen, dass der Gesetzgeber in §98 TKG, der keine Einschränkung wie Art.9 DSRLeK enthält, die Richtlinie genau umsetzen will und die Terminologie auch in §96 Abs.1 Nr.1 TKG eingehalten hat. Standortdaten sind daher sowohl in §98 als auch in §96 Abs.1 Nr.1 TKG nur „andere Standortdaten als Verkehrsdaten“.
d) Stellungnahme
Demnach ist die ortsabhängig vergebene dynamische IP-Adresse zwar auch ein Standortdatum, allerdings ändern sich dadurch die Erlaubnisse aus §96 Abs.1 Nr.1 TKG nicht, weil die IP-Adresse eben auch Verkehrsdatum ist und somit kein „anderes Standortdatum als Verkehrsdaten“. Gleichwohl sollten die Access Provider gemäß §3a BDSG darauf verzichten, IP-Adressen ortsabhängig zu vergeben und ihre Netzstruktur entsprechend anpassen, damit IP-Adressen nicht unnötigerweise auch Standortdaten werden.
VI. Erhebung und Löschungspflicht
1. Erhebung und Speicherung für die Verbindung
Gemäß §96 Abs.1 Nr.1 TKG darf der Access Provider die Nummer oder Kennung erheben oder verwenden, soweit dies für die bezeichneten Zwecke erforderlich ist. Eine Nummer ist definitionsgemäß (§3 Nr.13 TKG) eine Zeichenfolge für die Adressierung in TK-Netzen und umfasst daher auch IP-Adressen. Das Erbringen eines TK-Dienstes ist einer der im Abschnitt genannten Zwecke (§91 Abs.1 TKG).[163]
Die Erhebung erfolgt bereits dadurch, dass der Access Provider selbst die dynamische IP-Adresse bei der Einwahl generiert bzw. auswählt und zuteilt. Danach speichert er sie jedenfalls für die Dauer der Internet-Verbindung, um die IP-Datenpakete an den adressierten Kundencomputer zustellen zu können.[164] Dabei kann es sich durchaus um einen Zeitraum von mehreren Tagen oder gar Wochen handeln.[165] Die Erhebung und die Speicherung während der Verbindung ermöglichen den Internet-Zugang und die Nutzung überhaupt erst und sind daher Gegenstand der vertraglichen Pflichten des Access Providers gegenüber seinem Kunden.
2. Löschungspflicht mit Erlaubnisvorbehalt
Gemäß §96 Abs.2 sind die Daten jedoch nach Verbindungsende unverzüglich zu löschen, wenn nicht eine der dort bezeichneten Ausnahmen, also ein Erlaubnistatbestand, vorliegt. Diese Regelung entspricht Art.6 Abs.1 DSRLeK und ist eine Ausprägung des Verbotsprinzips mit Erlaubnisvorbehalt aus dem allgemeinen Datenschutzrecht (BDSG und DSRL).
D. Erlaubnis für die Speicherung
Nachdem die rechtliche Qualität der dynamischen IP-Adresse feststeht, fragt sich, welche der denkbaren Erlaubnistatbestände tatsächlich eine Speicherung über das Verbindungsende hinaus rechtfertigen. Allen Erlaubnistatbeständen ist gemein, dass sie aus systematischen Gründen grundsätzlich eng auszulegen sind, denn §3a BDSG errichtet mit dem Prinzip der Datenvermeidung und Datensparsamkeit einen Grundsatz des Datenschutzrechts, der Ausfluss des Erforderlichkeitsprinzip der Verfassung[166] und der DSRL[167] ist.
I. Einwilligung
Vereinzelt wird angenommen, dass eine Einwilligung des Kunden für die Verwendung der Verkehrsdaten genügt.[168]
1. Abschließende Regelung im TKG
Dem ist entgegenzuhalten, dass §96 Abs.2 die Speicherung über das Verbindungsende hinaus regelt, und zwar insoweit abschließend, wie nicht andere bereichsspezifische Gesetze eingreifen.[169] §94 TKG enthält selbst keine Regelung darüber, inwieweit eine Einwilligung möglich ist, sondern regelt nur eine mögliche Form der Einwilligung. §§4 Abs.1, 4a BDSG sind keine bereichsspezifischen Vorschriften, weil sie nicht auf das Fernmeldegeheimnis gerichtet sind; sie werden durch die Normen des TKG verdrängt.[170] Der Gesetzgeber hat in §§96 Abs.3, 98 Abs.1 TKG ausdrücklich auch geregelt, wann die Verwendung von Daten bei vorliegender Einwilligung erlaubt ist; dessen hätte es nicht bedurft, wenn Einwilligungen ohnehin möglich wären.
2. Grundrechtliche Abwägung
a) Privatautonomie
Bereits der Ausdruck „informationelle Selbstbestimmung“ impliziert, dass der Datenschutz nicht nur ein negatives Schutzrecht ist, sondern auch eine positive Seite hat, also den Einzelnen nicht nur vor der ungewollten Erhebung und Verwendung seiner Daten schützt, sondern ihm auch das Recht zusteht, autonom über die Verwendung seiner Daten zu entscheiden. Das gilt im Grunde nicht weniger für die vom Fernmeldegeheimnis besonders geschützten Verkehrsdaten.
b) Schutz des Kommunikationspartners
Hinsichtlich des Fernmeldegeheimnisses sind jedoch auch die Interessen des Kommunikationspartners zu berücksichtigen: Die privatautonome Bestimmung über die Verwendung von Kommunikationsdaten betrifft regelmäßig nicht nur die geschützten Daten des einen, sondern auch des anderen Kommunikationspartners.
c) Veräußerlichkeit von Grundrechten
Den Grundrechten ist ihre Veräußerlichkeit geradezu immanent, da sie eben Schutzrechte für den Einzelnen sind; gleichwohl wird überwiegend angenommen, dass die Grundrechte einen unveräußerlichen Kern haben, der in der Menschenwürde besteht.[171]
Wenn dieser Kernbereich hinsichtlich höchstpersönlicher Daten wie dem menschlichen Genom diskutiert wird, mag dies seine Berechtigung haben. Dass jedoch die für eine Internet-Verbindung zugeteilte dynamische IP-Adresse den Kernbereich der Menschenwürde in ähnlicher Weise berührt, kann nicht angenommen werden.
d) Beschränkung der Privatautonomie
Das BVerfG sieht die Privatautonomie als notwendigerweise begrenzt und gesetzlich ausgestaltungsbedürftig an.[172] Es obliegt dem Staat, im Rahmen der Privatautonomie strukturelle Disparitäten auszugleichen, um dadurch der Privatautonomie erst Geltung zu verschaffen.
3. Gemeinschaftsrechtlicher Hintergrund
Das BDSG setzt die DSRL um, nicht aber die DSRLeK. Diese enthält in Art.6 Abs.3 besondere Erlaubnisse für den Fall, dass eine Einwilligung vorliegt; auch dessen hätte es nicht bedurft, wenn eine Einwilligung ohnehin möglich wäre. Gemäß Erwägungsgrund 17 DSRLeK soll die Einwilligung die „gleiche Bedeutung“ haben wie in der DSRL. „Bedeutung“ ist in diesem Zusammenhang aber nicht rechtsfolgenmäßig gemeint, sondern begrifflich; insbesondere die Legaldefinition des Art.2 lit. h DSRL soll übernommen werden, die Einwilligung also zwanglos, konkret und informiert sein, soweit sie zulässig ist.
Die Zulässigkeit einer weitergehenden Einwilligung ist daher gemeinschaftsrechtlich nicht geboten. Damit ist noch nichts darüber gesagt, ob eine weitergehende Einwilligung aber durch die Richtlinie verboten sein soll. Der EuGH betrachtet die Datenschutzvorschriften nicht als Mindest- sondern als Vollharmonisierung;[173] es ist daher anzunehmen, dass auch nach dem Gemeinschaftsrecht eine Einwilligung nur in den in der DSRLeK ausdrücklich genannten Zwecken zulässig ist.
4. Stellungnahme
Verfassungsrechtlich möglich – und geboten – wäre eine Beschränkung des autonomen Verzichts auf das Fernmeldegeheimnis, wenn eine strukturelle Disparität vorläge. Das ist der Fall: Der Einzelne hat praktisch keine wirksamen Kontrollmöglichkeiten, ob und wie seine Daten beim Access Provider verwendet werden und ob dies nur genau in dem Umfang geschieht, in den er eingewilligt hat. Der Gesetzgeber ist daher angehalten, durch klare Regelungen die Verwendung von Daten von vornherein weitmöglichst auszuschließen, um einer – auch nur fahrlässig – über die Einwilligung hinausgehenden Verwendung vorzubeugen.
Diese Argumentation reicht aber nur so weit, wie nicht durch die privatautonome Ausübung eines Verzichts auf den Schutz der Verbindungsdaten andere schützenswerte Interessen des Einzelnen wahrgenommen werden.
Ähnliches gilt für die gemeinschaftsrechtliche Bewertung: Auch hier kann der Schutz nicht weiter gehen, als andere gemeinschaftsrechtliche Ziele durch eine Einwilligung erst verwirklicht werden können. Dazu gehört – neben dem Datenschutz selbst – der Verbraucher- und Kundenschutz einschließlich des Ziels, im Telekommunikationssektor durch transparenten Wettbewerb günstige Verbraucherpreise zu schaffen.
Dies gilt allerdings für beide Seiten, also auch für den Access Provider. Die vergebene dynamische IP-Adresse ist aus Sicht des Access Providers ebenso geschützt wie aus Kundensicht, da er der Kommunikationspartner ist.
Eine Einwilligung in eine Verwendung – über die vom TKG ausdrücklich vorgesehenen Fälle hinaus – ist also nur möglich, wenn die Einwilligung beidseitig erfolgt und die Speicherung Zwecken dient, die dem Telekommunikationsrecht immanent sind. Einzelfälle werden sogleich zu erörtern sein.
II. Vermarktung, Gestaltung und Dienste mit Zusatznutzen
§96 Abs.3 TKG sieht eine Einwilligung in die Verwendung von Verkehrsdaten für die Vermarktung und die Gestaltung von Telekommunikationsdiensten vor sowie für Dienste mit Zusatznutzen, jedoch auch insoweit nur in Bezug auf den einwilligenden Teilnehmer. Ob sich die Einschränkung „im dafür erforderlichen Zeitraum“ nur – wie die historische Entstehung der Norm nahelegt[174] – auf die Verwendung für Dienste mit Zusatznutzen bezieht oder auf alle in §96 Abs.3 TKG enthaltenen Erlaubnistatbestände, mag dahinstehen: Das Erforderlichkeitsprinzip gilt ohnehin und gestattet eine Speicherung und Verwendung auch mit Einwilligung des Teilnehmers nur, soweit und solange es für die genannten Zwecke erforderlich ist.
Systematisch erlaubt Abs.3 als Ausnahme zu Abs.1 es dem TK-Diensteanbieter, Verkehrsdaten überhaupt zu erheben und zu verwenden. Da die Erhebung der IP-Adresse bereits technisch notwendig ist, bedarf es dieser Erlaubnis insoweit nicht. Gleichwohl ist Abs.3 geeignet, auch die Verwendung der in Abs.1 bezeichneten Verkehrsdaten über die eigentlichen Zwecke hinaus zu erlauben.
1. Vermarktung und Gestaltung
Die Vermarktung und Gestaltung kann in dem Angebot neuer Tarife oder der Entwicklung der technischen Infrastruktur bestehen, und war nicht nur maßgeschneidert für den einzelnen Teilnehmer, sondern auch allgemein.[175] Es ist jedoch nicht erkennbar, wie die Vermarktung oder Gestaltung von TK-Diensten von der zugeteilten IP-Adresse abhängen könnte. Tarifmodelle und die technische Infrastruktur sollten auf die Verbindungszeiten und übertragenen Datenvolumina abgestimmt sein, die Infrastruktur für die IP-Adressvergabe auch auf die Anzahl und Häufigkeit der Adressvergaben. Für keine dieser Aspekte ist aber die Auswertung der konkret zugeteilten IP-Adresse erforderlich oder auch nur geeignet, sodass auch mit Einwilligung des Teilnehmers für die Vermarktung und Gestaltung von TK-Diensten die Speicherung zwecks Auswertung der dynamischen IP-Adresse nicht zulässig ist.
2. Dienste mit Zusatznutzen
Eine Einwilligung ist auch zulässig für Dienste mit Zusatznutzen; diese Regelung zielt insbesondere auf standortbezogene Anwendungen ab. Diese sind aber allenfalls für die Dauer der Verbindung vorstellbar. Für die Verwendung der IP-Adresse nach Verbindungsende besteht kein denkbarer Zusatznutzen.
III. Speicherung zur Entgeltermittlung und ‑abrechnung
Gemäß §97 TKG dürfen die in §96 Abs.1 TKG genannten Daten – also auch die Zuordnung der dynamischen IP-Adresse – verwendet werden, soweit sie für die Ermittlung und Abrechnung von Entgelten erforderlich sind.
1. Ermittlung und Abrechung
Inhalt des Flatrate-Tarifs ist grundsätzlich unbeschränkte Verbindungsdauer und unbeschränktes Datenvolumen; das Entgelt ist pauschal zu entrichten. Schon daraus ergibt sich, dass sich das Entgelt bereits unmittelbar aus dem Flatrate-Tarif ergibt und grundsätzlich nicht anhand von Verkehrsdaten ermittelt und abgerechnet werden muss. Die einzige abrechnungsrelevante Information für den Flatrate-Tarif ist, dass der Access Provider den Internet-Zugang funktionsfähig vorgehalten hat.
Dagegen ist eingewendet worden, dass der Flatrate-Tarif regelmäßig nur bestimmte Zugangsarten umfasst – im Fall der verbreiteten DSL-Flatrates den Zugang eben über einen DSL-Breitbandanschluss – und nicht den gleichzeitigen Zugang über mehrere Anschlüsse. Unter der gleichen Benutzerkennung kann der Kunde aber, wenn der Access Provider dies vorsieht, auch eine zweite gleichzeitige Verbindung oder Verbindungen über andere Anschlüsse aufbauen, die mit dem Pauschaltarif nicht abgegolten sind. Dafür sei es erforderlich, die IP-Adressen zu speichern, da über diese abgerechnet werde.[176]
Das ist jedoch unzutreffend. Selbst wenn nach Zeit oder Datenvolumen zusätzliche Entgelte für andere Nutzungsarten zu entrichten sind, so hängen diese Entgelte eben von der Verbindungszeit und vom Volumen ab, nicht aber von der IP-Adresse. Für die Ermittlung und Abrechnung der durch zusätzliche Nutzung anfallenden Entgelte ist die IP-Adresse in keiner Weise aussagekräftig; die für die Abrechnung relevanten Daten müssen nicht in Bezug zu einer IP-Adresse gespeichert werden und diese wiederum mit Bezug zu den Bestandsdaten, sondern die abrechnungsrelevanten Daten können auch unmittelbar mit Bezug zu den Bestandsdaten gespeichert werden.[177]
2. Nachweis der Richtigkeit
a) Streit über die Richtigkeit
Sowohl bei der Berechnung anderer Zugangsarten, als auch bei der Berechnung eines Resellers an Kunden ohne Flatrate-Tarif kann es zum Streit zwischen Access Provider und Kunden darüber kommen, ob einzelne Verbindungen tatsächlich stattgefunden haben. Bei Kunden mit Flatrate-Tarif kann es zum Streit kommen, ob der Access Provider eine Zugangsmöglichkeit zum Internet vertragsgemäß ständig vorgehalten hat oder ob der Zugang in bestimmten Zeiträumen gar nicht möglich war.
b) Praktische Bedeutung und Beweiskraft
Das insoweit erfahrene AG Darmstadt[178] hat dazu ausgeführt, dass IP-Adressen in der Praxis von Access Providern nicht für den Nachweis der Richtigkeit von Abrechnungen vorgelegt werden. Das mag bereits an dem geringen Beweiswert liegen: Die Tatsache, dass eine IP-Adresse zugeteilt wurde, mag zwar indizieren, dass eine Internet-Verbindung aufgebaut wurde, jedoch würde dafür bereits genügen, die Information zu speichern, dass irgendeine IP-Adresse überhaupt vergeben wurde.[179] Ohnehin aber kann die Vergabe einer IP-Adresse nicht sicher beweisen, dass das – geschuldete – Routing von IP-Paketen auch funktioniert hat.[180]
c) Beweislast
Jedoch sind die Access Provider insoweit auch nicht beweisbelastet: Gemäß §45i Abs.2 TKG trifft sie keine Nachweispflicht für Verbindungen, soweit die betreffenden Daten aufgrund rechtlicher Verpflichtungen gelöscht werden mussten. Die Access Provider müssen dann nur nachweisen, dass ihre Systeme allgemein fehlerfrei funktionieren, §45i Abs.3 TKG[181] ; gelingt dies, gilt die Richtigkeit der Abrechnung prima facie als erwiesen.[182]
d) Speicherung der IP-Adresse zum Nachweis?
Nach verbreiteter Ansicht kommen für den Nachweis der Richtigkeit ohnehin keine Daten in Frage, die nicht schon für die Abrechnung erforderlich sind.[183] Auch wenn man dies außer Acht lässt, ergibt sich jedoch nichts anderes, denn weder ist der Access Provider ist für Daten, die er nicht speichern darf, beweisbelastet noch wäre die Zuordnung der IP-Adresse ein aussagekräftiges Beweismittel.
3. Einzelverbindungsnachweis
Da die IP-Adresse eine Kennung i.S.d. §96 Abs.1 Nr.1 TKG ist, stellt sich die Frage, ob sie auch Gegenstand eines Einzelverbindungsnachweises nach §§99Abs.1, 45e Abs.1 TKG sein kann.
a) Einzelverbindungsnachweis bei Internet-Flatrate?
Der Gesetzgeber hat bewusst darauf verzichtet, die Regelungen über den Einzelverbindungsnachweis auf die Telefonie zu beschränken.[184] Sie sind daher auch auf Internet Access anwendbar.
Bisher war umstritten, ob ein Einzelverbindungsnachweis auch bei Flatrates möglich ist. Ein Einzelverbindungsnachweis kam grundsätzlich nur in Frage über Daten über abzurechnende kostenpflichtige Verbindungen; solche entstehen im Rahmen des Flatrate-Tarifs nicht. Die Verbindungen im Rahmen von Flatrates waren daher bislang ebenso wenig in Einzelverbindungsnachweise aufzunehmen wie kostenlose Einzelverbindungen.[185]
Dem hat Dahlke entgegengehalten, dass es dem Kunden nur mit einem Einzelverbindungsnachweis möglich ist, festzustellen, ob sich der Flatrate-Tarif für ihn rechnet.[186] Dem ist zuzustimmen: Wenn der Kunde die Einzelverbindungen auch im Flatrate-Tarif ausdrücklich aufgeschlüsselt haben möchte, sollte dies ermöglicht werden, denn die Kontrolle des individuellen Preis- /Leistungsverhältnisses dient selbst dem Kundenschutz und einem transparenten und wirksamen Wettbewerb.[187]
Der Gesetzgeber hat dies erkannt und durch das TKG-Änderungsgesetz in §99 Abs.1 Satz 1 TKG festgelegt, dass dem Kunden auch die Daten pauschal abgegoltener Verbindungen mitgeteilt werden dürfen. §96 Abs.2 TKG verweist als Erlaubnistatbestand für eine Speicherung nach Verbindungsende auf §99 TKG, sodass ein Einzelverbindungsnachweis geeignet ist, die Speicherung der dafür notwendigen Daten zu rechtfertigen.
b) IP-Adresse im Einzelverbindungsnachweis?
Die IP-Adresse ist eine Kennung i.S.d. §96 Abs.1 Nr.1 TKG. Obwohl es für die Entgelthöhe (auch bei Nicht-Flatrates) nicht auf die vergebene dynamische IP-Adresse ankommt, kann diese als Kennung des beteiligten Anschlusses Gegenstand des Einzelverbindungsnachweises sein.
Bei ISDN-Anschlüssen ist die abgehende Telefonnummer (MSN) Pflichtbestandteil[188] des Einzelverbindungsnachweises, obwohl es für das Entgelt darauf ebenso wenig ankommt.[189] Sie dient der Zuordenbarkeit und Kostenkontrolle. Dagegen ließe sich einwenden, dass die MSN Bestands- und kein Verkehrsdatum ist; jedoch ist die MSN als abgehende Kennung bei einer einzelnen Verbindung ebenso Teil eines Verkehrsdatensatzes.
Fraglich ist, ob die IP-Adresse einen ähnlichen Zweck erfüllen kann wie die Angabe der abgehenden Telefonnummer. Denkbar ist, dass der Kunde mit dem Einzelverbindungsnachweis potenziell für irgendwelche Umstände Beweis führen möchte, indem er die ihm vom Access Provider aufgelistete IP-Adresse mit z.B. bei Telemediendiensteanbietern gespeicherten Datensätzen oder mit dem Kopfzeilenbereich von Emails[190] in Verbindung bringt.
c) Zulässigkeit der Speicherung
Es besteht insoweit zwar kein Anspruch des Kunden aus §45e Abs.1 TKG auf einen Einzelverbindungsnachweis, denn der Anspruch ist auf die Nachvollziehbarkeit von Teilbeträgen beschränkt und greift bei Flatrates nicht. Wenn der Access Provider jedoch seinerseits einwilligt, indem er einen Einzelverbindungsnachweis in dieser Form fakultativ anbietet, ist die Speicherung der vergebenen dynamischen IP-Adresse zu diesem Zweck zulässig. Dies steht auch im Einklang mit der DSRLeK, da die Anforderung eines Einzelverbindungsnachweises eine „Kundenanfrage“ i.S.d. Art.6 Abs.5 DSRLeK ist.
4. Abrechnung mit anderen Diensteanbietern
a) Fremde Diensteanbieter
§97 Abs.5 TKG erlaubt nur die Verwendung im Verhältnis zu anderen Diensteanbietern i.S.d. §3 Nr.6 TKG, wenn der Access Provider mit diesem anderen Anbieter oder dessen Kunden abrechnen wollte oder die Daten der Abrechnung des anderen Diensteanbieters mit seinem Kunden ermöglichen. Relevant ist das insbesondere für die Verwendung von Mobilfunkanschlüssen im Ausland bzw. von ausländischen Mobilfunkanschlüssen im Inland (International Roaming).
Derzeit sind derartige Abrechnungsmodelle mit Internet-Flatrates nicht üblich, es ist jedoch keineswegs ausgeschlossen, dass zukünftig Flatrate-Tarife angeboten werden, die den Zugang zum Internet auch über andere Access Provider ohne zusätzliche Kosten erlauben; insbesondere für den Bereich mobiler Zugänge (Mobilfunk, Hotspots) ist das nicht fernliegend. Der Access Provider, der einen „fremden“ Kunden bedient, müsste dann mit demjenigen Access Provider, dessen Kunden er den Zugang zum Internet ermöglicht hat, abrechnen.
Dafür ist aber die Speicherung der dynamischen IP-Adresse nicht erforderlich. Es würde genügen, wenn der Access Provider speichert, wie viel Datenvolumen und Verbindungszeit alle Kunden eines bestimmten anderen Access Providers insgesamt in seinem Netz verbraucht haben oder Verbindungszeit und Datenvolumen einer einzelnen Verbindung anonym oder in Verbindung mit einem Bestandsdatum gespeichert werden.
b) Diensteanbieter ohne eigenes Netz
Im Fall des Resale kommt es vor, dass der Reseller vom Netzbetreiber erst nach einigen Tagen die Verbindungsdaten erhält, auf deren Grundlage jener dann abrechnet.[191] Erst der Reseller weiß überhaupt, dass ein bestimmter Kunde einen bestimmten Tarif hat oder einen Einzelverbindungsnachweis möchte. Bis zu diesem Zeitpunkt, also der Auswertung der Daten des Betreibers durch den Reseller, soll die Speicherung der IP-Adresse gemäß §97 Abs.1 Satz 2 TKG erforderlich und daher auch zulässig sein.[192]
Fraglich ist, ob der Netzbetreiber alle von ihm bei der Diensterbringung erhobenen Daten speichern und an den Reseller weiterleiten darf.[193] Zwar spricht der Wortlaut der Vorschrift – „die für die Erbringung von dessen Diensten erhobenen Verkehrsdaten“ – dafür, dass keine Einschränkungen gemacht werden müssen. Allerdings gebieten die verfassungskonforme und die richtlinienkonforme Auslegung der Vorschrift eine Einhaltung des Erforderlichkeitsprinzips und damit eine Restriktion des Wortlauts. Das Erforderlichkeitsprinzip ist nur dann eingehalten, wenn der wiederverkaufende Access Provider zumindest einige der vom Netzbetreiber gespeicherten IP-Adresszuordnungen noch benötigt; nur dann muss er die für ihn relevanten Datensätze ermitteln. Wäre von vornherein ausgeschlossen, dass der Reseller noch irgendwelche der beim Netzbetreiber gespeicherten Datensätze benötigt, dann wäre die dortige Speicherung unzulässig.
Die sich aus §97 Abs.1 Satz 2 TKG ergebene Erlaubnis der kurzfristigen Vorratsspeicherung beim Netzbetreiber und Weitergabe an den Access Provider zwecks Ermittlung der dort noch zu verwendenden Datensätze ist daher nicht eigenständig, sondern nur akzessorisch zu einer Erlaubnis des Access Providers zur zweckgebundenen Ermittlung relevanter Datensätze.
5. Leistungsermittlung
Zur Entgeltermittlung im weiteren Sinne könnte man noch die Ermittlung der Gegenleistung des Access Providers zählen. Das Geschäftsmodell bei Flatrates beinhaltet auf Providerseite eine Mischkalkulation: Einige Kunden nehmen mehr Leistungen, also Verbindungszeit und Datenverkehr, in Anspruch und andere weniger; erstere Kunden sind im Flatrate-Tarif gegenüber der Einzelabrechnung – oder gar absolut – ein Verlustgeschäft. Es ist für die Access Provider daher durchaus überlegenswert, den Vielnutzern ordentliche Kündigungen auszusprechen; dies wäre grundsätzlich durch Artt.12 Abs.1, 2 Abs.1 GG gedeckt.[194] Um Vielnutzer festzustellen, müssen die Access Provider allerdings zunächst einmal Datenvolumina und/oder Verbindungsdauer erheben.
Auch für diese Zwecke ist aber das Speichern der dynamischen IP-Adresse nicht erforderlich. Es würde genügen, nach Verbindungsende das während der Verbindung angefallene Datenvolumen bzw. die Verbindungsdauer auf eine gespeicherte Summe oder Durchschnittszahl aufzuaddieren. Ob das zulässig wäre, mag dahinstehen, die Speicherung der Zuordnung von dynamischen IP-Adressen über das Verbindungsende hinaus rechtfertigt es jedenfalls nicht.
IV. Speicherung zur Fehler- und Störungsbeseitigung
Gemäß §100 Abs.1 TKG darf der Access Provider auch Verkehrsdaten verwenden, soweit dies für die Erkennung, Eingrenzung und Beseitigung von Störungen oder Fehlern an seinen Telekommunikationsanlagen (i.S.d. §3 Nr.23 TKG) erforderlich ist.
Auch die zur Steuerung und zum Routing eingesetzten Computersysteme des Access Providers sind Telekommunikationsanlagen. Soweit für die genannten Zwecke die Speicherung der IP-Adresse erforderlich ist, ist die Speicherung auch zulässig.
1. Offensichtlichkeit der Störung?
Unklar ist allerdings, wann die Tatbestandsvariante „Erkennen“ vorliegt. Während die Eingrenzung oder Beseitigung voraussetzt, dass ein Fehler oder eine Störung bereits bekannt ist, ist dies bei „Erkennen“ dem Wortlaut nach nicht ohne weiteres der Fall.
Eine Störung oder ein Fehler lassen sich nicht immer einfach daran erkennen, dass eine Funktionsbeeinträchtigung vorliegt. Computersysteme und ‑netzwerke von Access Providern sind meist redundant ausgelegt, sodass Fehler und Störungen an einem Anlagenteil sich nicht in der Funktionalität nach außen bemerkbar machen.
Das TKG ist systematisch darauf ausgelegt, auch die Betriebssicherheit und Verfügbarkeit von TK-Diensten sicherzustellen, und zwar auch durch präventive Maßnahmen.[195] Dazu gehört auch die Erkennung von Fehlern und Störungen, die sich noch nicht durch Funktionsausfälle bemerkbar machen. Auch eine Gegenüberstellung mit Abs.3 zeigt, dass der Gesetzgeber dort „tatsächliche Anhaltspunkte“ zur Tatbestandsvoraussetzung gemacht hat, jedoch nicht in Abs 1. Daher sind auch vorsorgliche Maßnahmen zur Erkennung von eventuellen Fehlern und Störungen von §100 Abs.1 TKG erfasst.
2. Verhältnismäßigkeit
Die Speicherung der Verkehrsdaten muss allerdings besonders bei präventiver Störungserkennung unter strenger Wahrung der Verhältnismäßigkeit erfolgen. Die dynamisch vergebene IP-Adresse darf daher nur gespeichert werden, wenn und soweit dies für die Störungs- oder Fehlererkennung unbedingt erforderlich ist und muss, sobald sie dafür nicht mehr gebraucht wird, unverzüglich gelöscht werden.[196]
Störungen und Fehler, für die die vergebene IP-Adresse von Belang sein könnte, können sich praktisch nur auf die Vergabe der Adresse und das Routing beziehen; beides erfolgt aber während der Verbindung. Soweit eine Speicherung über das Verbindungsende doch notwendig ist, könnte die IP-Adresse anonymisiert werden, indem aus ihr ein eindeutiger, aber unumkehrbarer Hashwert[197] erzeugt wird.
3. Ergebnis
§100 Abs.1 TKG erlaubt die personenbezogene Speicherung der dynamischen IP-Adresse für die Beseitigung und Eingrenzung, aber auch vorsorglich für die Erkennung von Fehlern und Störungen, soweit die Speicherung dafür geeignet und erforderlich ist und die IP-Adresse nicht anonymisiert werden kann.
V. Bekämpfung von Leistungserschleichungen
1. Telekommunikationsrecht
§100 Abs.3 TKG erlaubt die Verwendung von Verkehrsdaten zum Aufdecken und Unterbinden von Leistungserschleichungen (§265a StGB) und sonstigen rechtswidrigen Inanspruchnahmen. Als mögliche „Angreifer“ kommen dabei nicht nur die Nutzer selbst in Frage, sondern auch andere TK-Diensteanbieter, die in Bereicherungs- oder Schädigungsabsicht Verbindungen herstellen.[198]
Im Gegensatz zu Abs.1 umfasst der Erlaubnistatbestand des Abs.3 nicht auch das „Erkennen“; präventive Maßnahmen sind ausgeschlossen. Es sind tatsächliche Anhaltspunkte erforderlich, die auch dokumentiert werden müssen. Allerdings umfasst die Erlaubnis auch ein „Frühwarnsystem“ bereits bei ungewöhnlichem Telekommunikationsverhalten.[199] Liegt ein Anfangsverdacht vor, so erlaubt Satz 3 auch eine Speicherung zum Zweck der „Rasterauswertung“.
2. Telemedienrecht
§15 Abs.8 TMG erlaubt die Verwendung von Nutzungsdaten, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass bestimmte Nutzer die Dienste nutzen, ohne das Entgelt dafür bezahlen zu wollen, soweit dies für die Rechtsverfolgung erforderlich ist.
Diese Vorschrift ist gemäß §11 Abs 3 TMG auch auf Telemedien anwendbar, die überwiegend in der Signalübertragung über TK-Netze bestehen; nachdem auf Access Provider das TMG im Grunde anwendbar ist und überwiegend Signalübertragung Gegenstand der Dienste ist, gilt also §15 Abs.8 TMG für Access Provider. Die IP-Adresse ist geeignet, den Nutzer zu identifizieren und kann daher gemäß §15 Abs.1 Nr.1 TMG unter die Nutzungsdaten subsumiert werden.
3. Abgrenzung
Auch wenn die Vorschriften einander ähnlich sind, ergeben sich Unterschiede etwa hinsichtlich der Anzeigepflicht für entsprechende Verfahren (§100 Abs.3 Satz 5 TKG) und der Bekanntgabe an den Nutzer (§15 Abs.8 Satz 3 TMG). Eine Abgrenzung ist jedoch im Rahmen der Fragestellung nicht erforderlich, da jedenfalls beide Vorschriften die Speicherung der IP-Adresse erlauben, soweit und solange dies zu dem praktisch deckungsgleichen Zwecken erforderlich ist: Beide Vorschriften erlauben die Speicherung von IP-Adressen beim Vorliegen tatsächlicher Anhaltspunkte, keine der beiden Vorschriften erlaubt eine Speicherung auf Vorrat.[200]
4. Rechtswidrige Inhalte als rechtswidrige Inanspruchnahme?
Die Regelungen eröffnen die Frage, ob denn Rechtsverstöße, die den Inhalt der übertragenen Daten betreffen, eine rechtswidrige Inanspruchnahme des TK-Dienstes darstellen.
Die Access Provider haben in ihren AGB die rechtswidrige Bereitstellung von Daten ausgeschlossen, insbesondere hinsichtlich des Jugendschutzrechts, des Urheberrechts und des allgemeinen Strafrechts.[201]
Sofern die AGB Vertragsbestandteil werden, könnte man annehmen, dass z.B. die Bereitstellung von urheberrechtlich geschützten Werken als Dateien durch einen Nichtberechtigten nicht der vertraglich vereinbarten Nutzung des TK-Dienstes entspricht und daher eine rechtswidrige Inanspruchnahme ist.
Dafür wäre es aber erforderlich, dass die AGB-Regelungen die Leistungspflicht des Access Providers einschränken und nicht lediglich eine (zusätzliche) Haftungsfreistellung zum Gegenstand haben. Was vom Access Provider als AGB-Verwender gewollt ist, hängt vom genauen Wortlaut der AGB des jeweiligen Access Providers ab. Zweifelhaft ist aber, ob eine solche Leistungsbeschränkung wirksam wäre:
Gemäß §307 Abs.2 Nr.2 BGB ist eine unangemessene Benachteiligung anzunehmen, wen wesentliche typische Rechte oder Pflichten aus dem Vertrag erheblich eingeschränkt werden. Der Access Provider schuldet den Zugang zum Internet.[202] Das Bereitstellen und die Übertragung von Dateien sind eine typische Nutzung des Internet. Was Inhalt der Datei ist, unterliegt als Kommunikationsinhalt dem Fernmeldegeheimnis des Art.10 Abs.1 GG.[203] Typische Leistungspflicht eines TK-Diensteanbieters ist auch, die Leistung unabhängig von Inhalt zu erbringen: Ebenso wenig, wie Telefongesellschaften ihre Dienste auf bestimmte Gesprächsinhalte beschränken dürfen, können Access Provider die Datenübertragung im Internet auf bestimmte Dateiinhalte beschränken.
Die rechtswidrige Übertragung bestimmter Inhalte durch den Kunden im Rahmen des Internet Access stellt also im Verhältnis zum Access Provider keine rechtswidrige Inanspruchnahme dessen Dienste dar und rechtfertigt daher nicht die Speicherung der IP-Adresse.
VI. Speicherung zur Gewährleistung der ICT-Sicherheit
1. Bedeutung der IP-Adresse für die Gewährleistung von ICT-Sicherheit
Die Speicherung von IP-Adressen kann die Verfolgung von „Angreifern“ erleichtern: Durch eine schnelle Reaktion auf einen technischen Angriff können die Schäden gemindert werden; durch die Speicherung, Auswertung und Verbreitung von Informationen über den „Angreifer“ können zudem andere Serverbetreiber vorgewarnt werden; dies entspricht auch der „Waffengleichheit“ mit den Hackern, die ebenso Informationen über Sicherheitslücken über das Internet austauschen können.[204]
Die IP-Adresse hat daher eine Doppelfunktion: Einerseits ist es möglich, allein anhand der IP-Adresse festzustellen, ob ein Angriff vorliegt, da die meisten Angriffe darin bestehen, eine Vielzahl von IP-Paketen an den angegriffenen Computer zu senden und anhand der Absenderadresse ebendies erkannt werden kann. Hierzu allein ist allerdings die Speicherung, wem die Adresse zugeordnet wurde, nicht erforderlich; es genügt, die IP-Adresse zu identifizieren und IP-Pakete oder bestimmte Operationen von dieser Adresse zu blockieren.
Andererseits ermöglicht sie aber, mit der Zuordnungsinformation, die Feststellung der Person des Angreifers. Daraus ergibt sich zwar keine Sicherheit im technischen Sinn; allerdings wirkt allein die Möglichkeit der Identifikation der hinter der IP-Adresse stehenden Person abschreckend und daher generalpräventiv.[205]
Die genannten Zwecke fallen möglicherweise in den Bereich der Nr.4, 5 der Anlage zu §9 BDSG. In den Verfahren vor dem AG und LG Darmstadt hatte sich der beklagte Access Provider auch auf die Nr.2 berufen; wie die IP-Adresse aber schon technisch einer sinnvollen und wirksamen Zugangskontrolle dienen kann, ist vom Access Provider dort nicht dargelegt worden und auch sonst nicht ersichtlich.[206]
2. ICT-Sicherheit als Erlaubnistatbestand?
Das RP Darmstadt hat argumentiert, die Speicherung der IP-Adresse diene der ICT-Sicherheit und sei daher gerechtfertigt.[207] Bei den vielen Unsicherheiten und Angriffsmöglichkeiten aus dem Internet seien die Access Provider darauf angewiesen, ein wirksames Daten- und Anlagenschutzniveau auf diese Weise herzustellen.
a) Telemedienrecht
Das RP Darmstadt hatte die Verpflichtung des Access Providers §9 BDSG (nebst Anlage) zur Gewährleistung der Datensicherheit als „andere Rechtsvorschrift“ i.S.d. §3 Abs.2 TDDSG und somit als Erlaubnistatbestand verstanden. Die Erbringung von Telemediendiensten sei überhaupt nur möglich, wenn Datensicherheit gewährleistet würde.[208]
Es ist zweifelhaft, ob diese Rechtsauffassung – nachdem das RP schon die Anwendbarkeit des Telekommunikationsrechts verkannt hatte – wenigstens folgerichtig war: Abzulehnen ist zwar die Ansicht, dass §9 BDSG durch das Telemedienrecht ausgeschlossen sei;[209] das TMG enthält keinerlei Vorschriften über die Datensicherung, sodass gemäß §12 Abs.4 TMG auf §9 BDSG zurückgegriffen werden kann und muss. Jedoch dient §9 BDSG dem technischen Schutz, also der Sicherung, von Daten[210] und soll nicht ihre Verwendung erlauben; Datenschutz und Datensicherung stehen nicht in einem Spannungsverhältnis, sondern sind gleichgerichtet.[211]
Jedenfalls hat die Nachfolgevorschrift §12 Abs.2 TMG die Auffassung des RP obsolet gemacht: Sie lässt als Erlaubnistatbestände in anderen Rechtsvorschriften nur noch solche zu, die sich ausdrücklich auf Telemedien beziehen, was bei §9 BDSG nicht der Fall ist.
b) Telekommunikationsrecht
Für die technischen Anlagen, mit denen die Access Provider TK-Dienste erbringen, gilt ohnehin nicht §9 BDSG, sondern §109 TKG als lex specialis. Auch §109 TKG ist kein Erlaubnistatbestand. Die Erlaubnistatbestände des TKG sind in §96 Abs.2 abschließend aufgezählt, §109 gehört nicht dazu. Für §109 TKG gilt – genauso wie für §9 BDSG – dass sich der Access Provider nicht einer Pflichtenkollision zwischen Datensicherung und Datenschutz befindet, in der abgewogen werden müsste, sondern der rechtliche Datenschutz und die rechtlichen Pflichten zur technischen Sicherung der Daten sind beide gleichgerichtet auf die Wahrung der informationellen Selbstbestimmung und des Fernmeldegeheimnisses.
VII. Speicherung aufgrund von Auskunftspflichten
1. Bestehende Auskunftspflichten
a) Auskunftspflichten im Urheberrecht
Nach Ansicht des LG Hamburg[212] besteht ein Auskunftsanspruch gegen den Access Provider aus §101a UrhG analog. Die allgemeine Haftung des Access Providers als Mitstörer sei gemäß §8 Abs.1 TDG nicht von den Privilegierungen der §§9 bis 11 TDG[213] erfasst und §101a UrhG gelte zwar direkt nur für Vervielfältigungsstücke, sei aber analog auch auf das Recht der öffentlichen Zugänglichmachung (§19a UrhG) anwendbar.[214]
Im weiteren Verfahrensverlauf hat das OLG Hamburg diese Entscheidung abgeändert und gegen den Auskunftsanspruch entschieden: Es hat die analoge Anwendung des §101a UrhG auf die öffentliche Zugänglichmachung verworfen und auch erkannt, dass eine eventuelle Störerhaftung nur auf Beseitigung, nicht aber aus Auskunft hinauslaufen könnte.[215] Ebenso haben das OLG München[216], das KG Berlin[217], das LG Flensburg[218] und das OLG Frankfurt/Main[219] eine Auskunftspflicht abgelehnt.[220] Auch in der überwiegenden Literatur wird ein Auskunftsanspruch aus §101a UrhG oder §242 BGB nicht anerkannt.[221]
b) Andere Auskunftspflichten
Auskunftspflichten hinsichtlich der Zuordnung einer dynamischen IP-Adresse ergeben sich aber etwa aus §113 TKG oder §§100g, 100h StPO,[222] aus §8a Abs.2 Bundesverfassungsschutzgesetz und aus §2 Abs.1 Satz 3 G10. Ebenso wie §2 G10 sieht §100g StPO, anders als noch seine Vorgängervorschrift §12 Fernmeldeanlagengesetz, eine Auskunft auch für zukünftige Verbindungen vor. Die übrigen Vorschriften beziehen sich auf Daten über vergangene Verbindungen.
2. Auskunftspflichten als Erlaubnistatbestand?
Bisweilen wird angenommen, dass bestehende Auskunftspflichten es rechtfertigen, Daten zu Erheben und zu Speichern, damit der Auskunftsanspruch eines eventuellen zukünftigen Berechtigten nicht leerläuft:
a) Das schwedische Öffentlichkeitsprinzip
Die schwedische Regierung geht davon aus, dass unter die in Art.7 lit. c. DSRL bezeichneten rechtlichen Verpflichtungen, die eine Verwendung von Daten erlauben, auch Auskunftspflichten, nämlich die schwedischen nationalen Informationsfreiheitsbestimmungen (offentlighetsprincip), fallen können; sie hat die DSRL entsprechend umgesetzt.[223] Die Kommission hat im Jahr 2000 Vertragsverletzungsverfahren gegen mehrere Mitgliedsstaaten wegen mangelhafter Umsetzung der DSRL eingeleitet, jedoch nicht gegen Schweden.[224]
Ob das aber von einer richtlinienbezogenen rechtlichen Überzeugung der Kommission getragen ist, ist zweifelhaft. Schweden hatte schon bei seinem Beitritt erklärt, dass das offentlighetsprincip zu seinen „fundamentalen Grundsätzen“ und seinem „verfassungsrechtlichen, politischen und kulturellen Erbe“ gehört.[225] Ob die Erklärung völkerrechtlich oder „nur“ politisch zu berücksichtigen ist, mag dahinstehen, jedenfalls konstituiert sie keinen Erlaubnistatbestand im Datenschutzrecht. Auch wenn Informationsfreiheit und Datenschutz in einem offensichtlichen Spannungsverhältnis stehen, können Informationspflichten nicht per se herangezogen werden, um eine Vorratsspeicherung für Daten für den Fall aller möglichen Auskunftspflichten zu rechtfertigen.
b) Rechtsprechung und Literatur
Das LG Frankfurt/Main hat in einem Beschwerdeverfahren gegen einen Beschluss nach §§100g, 100h StPO festgestellt, dass sich aus der Auskunftspflicht nicht die Pflicht ergibt, bestimmte Daten erst zu erheben oder zu speichern, sondern die Auskunftspflicht erstrecke sich nur auf solche Daten, die schon rechtmäßig gespeichert werden; die Erhebung und Speicherung anderer Daten könne nur im Rahmen der Telekommunikationsüberwachung angeordnet werden.[226] Die überwiegende Literatur teilt die Auffassung des LG.[227]
c) Stellungnahme
Bereits im Volkszählungsurteil hat das BVerfG klargestellt, dass eine Erhebung oder Verwendung von Daten für nicht klar bestimmte Zwecke verfassungswidrig ist.[228] Es ist daher zutreffend, dass eventuelle zukünftige Auskunftsbegehren über vergangene IP-Adresszuordnungen es nicht rechtfertigen können, die Daten sämtlicher Kunden auf Vorrat zu speichern. Jede IP-Adresse jedes Kunden würde sonst gespeichert, ohne dass bekannt ist, ob überhaupt über genau diese IP-Adresse und genau diesen Kunden Auskunft begehrt wird und wenn ja, zu welchem Zweck.
Zuzugeben ist, dass das Versagen einer Erlaubnis zur Speicherung von dynamischen IP-Adressen eine erhebliche Hürde für die Strafverfolgung im Internet darstellt und diese in weiten Teilen praktisch unmöglich macht und so de facto einen rechtsfreien Raum schafft.[229] Das kann aber zu keiner anderen Beurteilung führen. Es wäre Sache des Gesetzgebers, eine entsprechende Güterabwägung vorzunehmen und dem unter Wahrung der Verhältnismäßigkeit entgegenzutreten; die Einschränkung von Grundrechten aus Opportunitätsgründen ohne klare gesetzliche Grundlage ist jedenfalls nicht hinnehmbar.
Schwieriger ist die Frage, ob eine Speicherung der IP-Adressen eines bestimmten Kunden für die Zukunft nicht durch den Auskunftsanspruch gerechtfertigt werden kann; in diesem Fall ist der Zweck der Speicherung bereits konkret bestimmt. Nimmt man mit dem LG Frankfurt/Main an, dass die Speicherung auch dann unzulässig ist, ergibt sich möglicherweise ein Wertungswiderspruch: Für die Speicherung zukünftiger Verkehrsdaten wäre ein – auch in den Inhalt erfassender – Beschluss nach §100a StPO zulässig, während allein die Aufzeichnung von Verkehrsdaten als milderes Mittel versagt wäre.[230] Dem ist aber entgegenzuhalten, dass erstens die Telekommunikationsüberwachung nach den Bestimmungen der TKÜV zwar vom Access Provider technisch durch Schnittstellen zu ermöglichen, aber nicht selbst durchzuführen ist. Zweitens ist kein Gericht daran gehindert, einen Anordnungsbeschluss nach §100a StPO auf die Verkehrsdaten zu beschränken;[231] wenn auch ohne die Aufzeichnung von Inhalten die strafprozessual bedeutsamen Erkenntnisse gewonnen werden können, wäre das Gericht dazu unter Verhältnismäßigkeitsgesichtspunkten sogar verpflichtet.
Daher ist die h.M. zutreffend. Auskunft erteilen kann man nur über Informationen, über die man verfügt. Eine Auskunftspflicht beinhaltet schon sprachlich keine Verpflichtung, sich die Informationen beschaffen zu müssen. Auskunftspflichten können daher keine Erlaubnistatbestände für die Speicherung der dynamischen IP-Adresse sein, sondern beziehen sich allein auf Daten, die ohnehin (zulässigerweise) gespeichert werden.
3. Änderungen durch das TKG-Änderungsgesetz?
Durch das TKG-Änderungsgesetz ist §96 Abs.2 Satz 1 TKG geändert worden. Nunmehr dürfen die Verkehrsdaten auch für die „durch andere gesetzliche Vorschriften begründeten Zwecke“ verwendet werden. Der Gesetzgeber hatte dabei insbesondere die Auskunftserteilung über Verkehrsdaten an Staatsanwaltschaften und Sicherheitsbehörden im Blick.[232] Zweck dieser Änderung war es jedoch nicht, die materielle Rechtslage zu ändern, sondern sie klarzustellen: Der alte Wortlaut des §96 Abs.1 Satz 1 TKG ließ den Schluss zu, dass auch zulässigerweise gespeicherte Daten nicht aufgrund anderer Gesetze verwendet werden durften, da §96 Abs.1 TKG als abschließend galt.[233]
Eine Ausweitung der Speicherungsbefugnisse ergibt sich weder aus dem neuen Wortlaut noch wäre sie nach der amtlichen Begründung gewollt; zulässig ist auch weiterhin nur die Beauskunftung von Daten, die bereits zulässigerweise gespeichert werden.[234] Allerdings eröffnet der neue Wortlaut die Möglichkeit, auch schon die Speicherung von Daten durch ein anderes Gesetz anzuordnen; jedoch müsste ein solches Gesetz nicht nur materiell verhältnismäßig, sondern auch bereichsspezifisch sein.
4. Änderungen durch die Durchsetzungsrichtlinie
a) Durchsetzungsrichtlinie und Umsetzung
Deutschland muss die Durchsetzungsrichtlinie,[235] deren Umsetzungsfrist bereits am 29.04.2006 abgelaufen ist, noch in nationales Recht umsetzen. Art.8 Abs.1 lit. c der Richtlinie sieht einen Auskunftsanspruch für Inhaber geistig-gewerblicher Schutzrechte vor gegen jede Person, die „nachweislich für rechtsverletzende Tätigkeiten genutzte Dienstleistungen in gewerblichem Ausmaß erbrachte“.
Die Bundesregierung hat dazu einen Regierungsentwurf vorgelegt.[236] Gemäß §101 UrhGRegE soll der Auskunftsanspruch über die Herkunft und den Vertriebsweg gegen Dritte bestehen, wenn die Rechtsverletzung offensichtlich ist oder der Verletzte gegen den Verletzer Klage erhoben hat.[237]
[...]
[1] Fortune Cookies (Glückskekse) sind ein beliebtes Gimmick bei textbasierten Terminalservern: Bei jedem Login wird dem Benutzer eine „Weisheit“ angezeigt wie in einem Glückskeks. Der genannte Fortune Cookie ist angelehnt an den (in echten Glückskeksen zu findenden) Spruch „There is no place like home“: 127.0.0.1 ist die IP-Adresse für eine Verbindung (loopback) zum eigenen Rechner (localhost).
[2] Gesellschaft für deutsche Sprache (Hrsg.), Wörter die Geschichte machten, S. 142f.; danach ist auch „Datenverarbeitung“ ein Schlüsselbegriff des 20. Jahrhunderts (S. 91f.), nicht jedoch „Datenschutz“.
[3] P. Breyer, Die systematische Aufzeichnung…, S. 25f., m.w.N.
[4] Der Begriff ist üblich, aber tendenziös: Eine illegale Kopie anzufertigen, hat mangels Drohung oder Gewalt nicht einmal im übertragenen Sinne etwas mit einem Raub nach §249 StGB zu tun.
[5] Vgl. http://www.hartabergerecht.de, eine Initiative der Kino- und Filmwirtschaft.
[6] Business Software Alliance, http://www.bsa.org/germany/piraterie/auswirkungen.cfm.
[7] International Federation of the Phonographic Industry, Pressemitteilung vom 24.01.2007, http://www.ifpi.de/news/news-822.htm.
[8] Michelfelder, Ethics and Information Technology 2001, 129, [130].
[9] So auch Pollach, J Bus Ethics 2005, 221 [224] für das Verhältnis Kunde-Onlineshop. Jandach, FS Kilian, S. 443, unterscheidet bei der Qualität der Anonymität im Internet deswegen zwischen der, die nur im Verhältnis zum Kommunikationspartner besteht und der, die auch gegenüber dem Access Provider besteht.
[10] AG Darmstadt, MMR 2005, 634, m. Anm. Kazemi.
[11] LG Darmstadt, GRUR-RR 2006, 173; das Urteil ist rechtskräftig, der BGH (MMR 2007, 37, m. Anm. Kazemi) hat die Beschwerde gegen die Nichtzulassung der Revision als unzulässig zurückgewiesen.
[12] RP Darmstadt, MMR 2003, 213, m. Anm. Schmitz.
[13] Eigentlich war das RP wegen §89 Abs. 4 TKG a.F. (§115 Abs. 4 TKG n.F.) sachlich unzuständig; zuständig wäre der BfDI; Schmitz, Anm. zu RP Darmstadt, MMR 2003, 214 [215]; wohl auch Dix, DuD 2003, 234 [235]. Zur Einschlägigkeit des TKG sogleich.
[14] BfDI, Speicherung von IP-Adressen bei Flatrate-Verträgen, http://www.bfdi.bund.de/cln_029/nn_530308/DE/Themen/KommunikationsdiensteMedien/Internet/Artikel/SpeicherungVonIP-AdressenBeiFlatrate-Vertraegen.html; das Urteil als solches entfaltet subjektive Rechtskraft freilich nur inter partes, §325 Abs. 1 ZPO.
[15] Mühlbauer, Wer die Verbindungsdaten speichert, Telepolis 16.01.2007.
[16] Mühlbauer, Wer die Verbindungsdaten speichert (und das Gegenteil behauptet), Telepolis 24.01.2007.
[17] Aust, Hannoversche Allgemeine Zeitung vom 22.02.2007, S. 14; Heise Online, T-Online speichert IP-Adressen nur noch sieben Tage, 20.02.2007, http://www.heise.de/newsticker/meldung/85609.
[18] Vgl. auch die Schilderung des AG Darmstadt, MMR 2005, 634 [635]; dass diese Auffassung Bestand hat, hat die Bundesnetzagentur d. Verf. am 05.03.2007 mitgeteilt.
[19] Heise Online, Einwöchige Speicherung für Verbindungsdaten als „Zumutung“ kritisiert, 14.03.2007, http://www.heise.de/newsticker/meldung/86686.
[20] So Dix, DuD 2003, 234 [235].
[21] So auch Ulmer/Schrief, Datenschutz im neuen Telekommunikationsrecht, RDV 2004, 3 [6].
[22] So auch Ohlenburg, MMR 2004, 431 [431].
[23] Gesetz zur Änderung telekommunikationsrechtlicher Vorschriften vom 18. Februar 2007, BGBl. I S. 106.
[24] Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007, BGBl. I S. 179; zum Inkrafttreten vgl. die Bekanntmachung des Bundesministeriums für Wirtschaft und Technologie, BGBl. I S. 251.
[25] Sog. unicast; auch im Internet gibt es Möglichkeiten für eine Informationsversendung an mehrere (multicast) oder – eingeschränkt – an alle (broadcast) Empfänger, typisch ist aber unicast.
[26] Der verbreiteten Darstellung, dies sei die IP-Adresse, ist entgegenzuhalten, dass Computer immer nur binäre Ziffernfolgen austauschen. Es handelt sich lediglich um eine faktische Darstellungsnorm für die bessere Lesbarkeit für Menschen. Diese ist willkürlich gewählt: Bei den „neuen“ IP-Adressen nach IPv6 soll die Darstellung durch acht vierstellige hexadezimale Ziffernblöcke erfolgen, die durch Doppelpunkte getrennt werden, vgl. Wikipedia: IPv6, http://de.wikipedia.org/wiki/IPv6.
[27] Wikipedia: IP-Adresse, http://de.wikipedia.org/wiki/IP-Adresse.
[28] Siehe http://www.iana.org.
[29] Siehe http://www.ripe.net.
[30] Vgl. Tecchannel, EU fordert IPv6 gegen knappe IP-Adressen, 22.02.2002, http://www.tecchannel.de/news/themen/business/410574.
[31] Schmitz/von Netzer in Schuster, Vertragshandbuch Telemedia, Teil VI Rn. 4 ff.; Schuppert in Spindler, Vertragsrecht der Internet-Provider, Kapitel II Rn. 13; Schmitz, MMR 2001, 150 [155].
[32] Hoeren/Sieber -Stadler, Teil 12.1 Rn. 3.
[33] teltarif.de, Es geht los: T-DSL-Reseller stehen in den Startlöchern, 30.06.2004, http://www.teltarif.de/arch/2004/kw27/s14178.html; die Kommission hat das Kartellverfahren gegen die DTAG nach Preissenkung eingestellt (Heise Online, EU-Kommission stellt Verfahren gegen Telekom nach Preissenkung ein, 1.03.2004,
http://www.heise.de/newsticker/meldung/45158), nachdem sie kurz zuvor ein erhebliches Bußgeld in einem Kartellverfahren gegen die DTAG bezüglich Ortsnetzanschlüssen festgesetzt hatte (ABl. L 263 vom 14.10.2003, S. 9-41).
[34] Bleich, c’t 15/2005, 32 unter „Datenschiebung“.
[35] LG Hechingen, NJW-RR 2006, 1196 [1197]; Otto in Forgó/Feldner/Witzmann/Dieplinger, 305 [318] will in diesem Fall sogar allein das Vorunternehmen als TK-Dienstleister einordnen und nicht den Reseller.
[36] Kurz für: Modulator/Demodulator. Dabei werden die Daten in akustische Signale umgewandelt und über eine gewöhnliche Sprechverbindung übertragen, wie auch bei gewöhnlichen Faxgeräten.
[37] Schild, MMR 2/2007, V [V].
[38] Ebendort.
[39] Ebendort [VI], m.w.N.
[40] Simitis- Dammann, §3 Rn. 127.
[41] Simitis- Dix, §35 Rn. 25.
[42] Wuermeling/Felixberger, CR 1997, 230 [233].
[43] Bär, MMR 2002, 358 [360]; J. Breyer, DuD 2003, 491 [491f.]; Elbel, Die datenschutzrechtlichen Vorschriften…, S. 52f.; BeckTKG- Gersdorf, Teil C: Abgrenzung, Rn. 24; Grote, BB 1998, 1117 [1118]; Kazemi, MMR 2005, 636 [637]; Koenig/Loetz/Neumann, Telekommunikationsrecht, S. 22 ; Köcher/Kaufmann, DuD 2006, 360 [361]; Malek, Strafsachen im Internet, Rn. 402; Schmitz in Spindler/Schmitz/Geis, §1 TDDSG Rn. 8, 10; ders., MMR 2001, 150 [151]; ders., MMR 2003, 214 [215]; Splittgerber/Klytta, K&R 2007, 78 [83]; Eckhardt, K&R 2006, 293 [294]; Volkmann, CR 2005, 893 [894]; OLG Hamburg, MMR 2000, 611 [612f.]; AG Darmstadt, MMR 2005, 634 [635]; LG Darmstadt, GRUR-RR 2006, 173 [173]; a.A. Heidrich, DuD 2003, 237 und RP Darmstadt, MMR 2003, 213 die ohne nähere Begründung nur TDG/TDDSG auf Access Provider anwenden.
[44] Siehe oben B I 2 b.
[45] RegTP MMR 1999, S. 557-568: Für die Einordnung des „Online Connect“ Angebots der DTAG für Reseller als TK-Dienst dort S. 559, für die Einordnung der Dienste der damals noch rechtlich selbständigen T-Online International AG als Teledienste dort S. 565.
[46] RegTP a.a.O.
[47] Otto in Forgó/Feldner/Witzmann/Dieplinger, 305 [318], ähnlich Kitz, GRUR 2003, 1014 [1018].
[48] Dabei werden vom Anschlussnetzbetreiber die binären Signale transparent vom Access Provider zum Kunden (und umgekehrt) geleitet; vgl. Wikipedia: Bitstromzugang, http://de.wikipedia.org/wiki/Bitstromzugang; vgl. Abb. 2 (dort Schicht 1).
[49] Richtlinie 2002/77/EG der Kommission vom 16. September 2002 über den Wettbewerb auf den Märkten für elektronische Kommunikationsnetze und -dienste, ABl. L 249, S. 21.
[50] Richtlinie 90/388/EWG der Kommission vom 28. Juni 1990 über den Wettbewerb auf dem Markt für Telekommunikationsdienste, ABl. L 192, S. 10.
[51] Erwägungsgrund 1 der RL 2002/77/EG.
[52] Ohlenburg, MMR 2004, 431 [435].
[53] RegTP auf Anfrage von J. Breyer, DuD 2003, 491 [492]. Die Anfrage bezog sich noch auf §16 TKV, was keinen Unterschied macht, da die TKV ihre Ermächtigungsgrundlage im TKG fand und nur für TK-Diensteanbieter galt.
[54] So auch Schütz, MMR 1999, 557 [567].
[55] Köster/Jürgens, MMR 2002, 420 [421f.].
[56] Schmitz/von Netzer in Schuster, Vertragshandbuch Telemedia, Teil VI Rn. 2.; zum Begriff des „Vermittlers“ i.S.d. §81 Abs. 1a öUrhG ablehnend Einzinger / Schubert/Schwabl/Wessely/Zykan, MR 2005, 113 [114].
[57] U.a. Otto in Forgó/Feldner/Witzmann/Dieplinger, Probleme des Informationsrechts, S. 309ff.; Koenig/Loetz/Neumann, Telekommunikationsrecht, S. 22; Elbel, Die datenschutzrechtlichen Vorschriften…, S. 52f.; Eckhardt, K&R 2006, 293 [294]; jeweils m.w.N.
[58] Open Systems Interconnection Reference Model, ein von der ISO standardisiertes Modell für die Datenübertragung.
[59] Nach Wikipedia: OSI-Modell, http://de.wikipedia.org/wiki/OSI-Modell.
[60] Waldenberger, MMR 1998, 124 [125] für die Abgrenzung TDG/MDStV.
[61] Schmitz, MMR 2003, 214 [215].
[62] Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt, ABl. L 178, S. 1.
[63] „Fernabsatz“ bezieht sich hier auf die Erbringung des Dienstes und nicht auf den Vertragsschluss, vgl. im Gegensatz dazu Art. 2 Nr. 1 Fernabsatzrichtlinie (RL 97/7/EG, ABl. 1997, L 144, S. 19).
[64] Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22.06.1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. L 204, S. 37ff., geändert durch die Richtlinie 98/48/EG vom 20.07.1998, ABl. L 217 S. 18ff.
[65] Dietrich, GRUR-RR 2006, 145 [146].
[66] Busse-Muskala, JurPC 30/2005, Abs. 20.
[67] TDG1997 eingeführt durch Art. 1 des Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IuKDG) vom 22. Juli 1997 (BGBl. I S. 1870).
[68] BR-Drs. 966/96, S. 22.
[69] Art. 1 des Gesetzes über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr (EGG) vom 14. Dezember 2001, BGBl. I S. 3721.
[70] BR-Drs. 136/01, S. 49, 52f.
[71] BT-Drs. 16/3078, S. 22.
[72] Ebendort.
[73] BR-Drs. 556/06, S. 3; der Einwand betrifft die Auskunftspflichten gegenüber Ermittlungsbehörden.
[74] BT-Drs. 16/3135, S. 2.
[75] So auch Eckhardt, K&R 2006, 293 [294].
[76] Wikipedia: Dynamic Host Configuration Protocol, http://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol.
[77] So aber Elbel, Die Datenschutzrechtlichen Vorschriften…, S. 60 für die Auflösung von Domainnamen in IP-Adressen (DNS).
[78] Sicherlich, um digital übertragene Sprachtelefonie, die sonst auch dem Wortlaut der RL 98/34/EG unterfallen könnte, nicht anders zu stellen, als klassische analoge Telefonie.
[79] So auch Köcher/Kaufmann, DuD 2006, 360 [361]; Köster/Jürgens, MMR 2002, 420 [422]; Volkmann, CR 2005, 893 [894].
[80] Grabitz/Hilf, Recht der EU, A 30 I 1 Vorbem. Rn. 7.
[81] Zur EMRK sogleich.
[82] ABl. C 364 vom 18.12.2000, S. 1-22.
[83] Callies/Ruffert- Kingreen, Art. 6 EU Rn. 32f.
[84] MeyerGRC- Bernsdorff, Art. 7 Rn. 16.
[85] Ebendort, Rn. 24.
[86] Callies/Ruffert- Kingreen, Art. 7 GRC Rn. 10.
[87] Ebendort, Rn. 11.
[88] MeyerGRC- Bernsdorff, Art. 8 Rn. 1.
[89] Michelfelder, Ethics and Information Technology 2001, 129 [129]; Michelfelder zitiert auch Tribe mit der Beschreibung „grab-bag of goodies“ und bezieht sich dabei auf das US-amerikanische Recht, in dem die informationelle Selbstbestimmung ebenso nur als Derivat anderer Grundrechte konstruiert werden kann.
[90] A.A. Callies/Ruffert- Kingreen, Art. 8 GRC Rn. 12; Bernsdorff, a.a.O., Rn. 17, will hingegen wegen des Sekundärrechts den Schutzbereich in der elektronischen Kommunikation auch auf juristische Personen erstrecken.
[91] Zur Terminologie zutreffend Kilian, Europäisches Wirtschaftsrecht, Rn. 235; anders die h.M.
[92] Grabitz/Hilf- Brühann, DSRL, Vorbem. Rn. 12.
[93] Johnston, Impact of Privacy and Data Protection, S. 152; zur Bedeutung des Vertrauens auch Pollach, J Bus Ethics 2005, 221 [221].
[94] Fröhle, Web Advertising, S. 94 Anm. 559.
[95] Pincus/Johns, J Bus Ethics 1997, 1237 [1239; 1242f.].
[96] Siehe oben C I 1.
[97] Tatsächlich beauftragen Verwertungsgesellschaften auch grenzüberschreitend Unternehmen damit, die IP-Adressen von Internetnutzern zu ermitteln, die urheberrechtlich geschützte Werke über das Internet verbreiten, vgl. die Sachverhaltsschilderungen OLG Linz, MMR 2005, 592 [592] und LG Flensburg, GRUR-RR 2006, 174 [174f.]; dass Access Provider diesen Unternehmen wiederum die Informationen entgeltlich zur Verfügung stellen, wäre aus deren subjektiver ökonomischer Perspektive möglicherweise attraktiv, jedenfalls eine denkbare marktfähige Dienstleistung.
[98] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz personenbezogener Daten und zum freien Datenverkehr, ABl. L 108/1995, S. 1.
[99] Di Martino, Datenschutz im europäischen Recht, S. 15.
[100] Grabitz/Hilf- Brühann, DSRL Vorbem. Rn 45.
[101] Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. L 201/2002, S. 37.
[102] Kemmitt/Mögelin, Data Protection and Privacy, S. 113.
[103] Ebendort, S. 116.
[104] Ebendort, S. 113.
[105] Kilian, Europäisches Wirtschaftsrecht, Rn. 43.
[106] Ebendort , Rn. 92.
[107] Ihr fehlt dafür die Kompetenz: EuGH JZ 1996, 623 [623].
[108] Vgl. oben C I 1.
[109] Callies/Ruffert- Callies/Kingreen Art. 6 EU Rn. 33.
[110] EGMR, Malone ./. Vereinigtes Königreich, Urteil vom 2.08.1984, Abs. 84; Valenzuela Contreras ./. Spanien, Urteil vom 30.07.1998, Abs. 47; jeweils über die HUDOC Database, http://cmiskp.echr.coe.int.
[111] Meyer-Ladewig, EMRK, Art. 8 Rn. 37, m.w.N. für die Rechtsprechung des EGMR.
[112] Vertragsbüro des Europarates, http://conventions.coe.int/Treaty/en/Reports/Html/108.htm.
[113] Explanatory Report, Rn. 1.
[114] Vgl. Erwägungsgrund 11 DSRL.
[115] BVerfG E 7, 198 [205f.].
[116] Koenig/Loetz/Neumann, Telekommunikationsrecht, S. 103; BVerfG E 7, 198 [205f.]; ausführlich zur Entwicklung der mittelbaren Drittwirkung von Grundrechten durch das BVerfG: Klein, NJW 1989, 1633 [1634ff.].
[117] BVerfG E 65, 1.
[118] Di Martino, Datenschutz im Europäischen Recht, S. 18, m.w.N.
[119] Simitis- Simitis, §1 Rn. 34, m.w.N.
[120] BVerfG E 65, 1 [43].
[121] BVerfG E 65, 1 [44; 46].
[122] Penders, Ethics and Information Technology 2004, 247 [249]; Penders spricht von „Migration“ der Aspekte, was im Wortsinn unzutreffend ist, da sie ja dem Postgeheimnis erhalten geblieben sind.
[123] Ebendort [249; Fn. 14] m.w.N.
[124] P. Breyer, Die systematische Aufzeichnung…, S. 73.
[125] BVerfG NJW 1992, 1875 [1875].
[126] BVerfG NJW 1985, 121 [122].
[127] Koenig/Loetz/Neumann, Telekommunikationsrecht, S. 102.
[128] BVerfG NJW 2003, 1787 [1788] sogar für eine juristische Person des öffentlichen Rechts.
[129] BVerfG E 100, 313 [358]; 110, 33 [53].
[130] Simitis- Walz, §1 Rn. 170.
[131] Tatsächlich hat das BDSG die DSRL insoweit nicht erst umgesetzt, sondern gestaltet: di Martino, Datenschutz im Europäischen Recht, S. 27f.
[132] Siehe oben C I 3 a; Simitis- Bizer, §3a Rn 32.
[133] Siehe oben C II 1.
[134] Siehe amtliche Anmerkung TKG.
[135] BeckTKG- Robert, §91 Rn. 15.
[136] BR-Drs. 556/06, S. 13f.; allerdings bleibt journalistisch-redaktioneller Datenschutz Ländersache, §57 RStV; kritisch Schild, MMR aktuell 2/2007, V [VI].
[137] Siehe oben B II 2 c bb.
[138] BVerfG E 111, 307 [317].
[139] Hinweis Nr. 41 des Innenministeriums Baden-Württemberg, RDV 2004, 234 [236].
[140] Johnston, LNCS 2212/2001, 150 [154f.].
[141] Simitis- Dammann, §3 Rn. 20.
[142] Dammann, a.a.O., Rn. 10 und Rn. 63 m.w.N.; Dix, DuD 2003, 234 [234f.].
[143] Nach Penders, Ethics and Information Technology 2004, 247 [250].
[144] Bei ISDN im Data Channel (D-Kanal), bei GSM im Control Channel.
[145] Vgl. das anschauliche Szenario bei Michelfelder, Ethics and Information Technology 2001, 129 [134]. P. Breyer, European Law Journal 2005, 365 [365] bezeichnet die Möglichkeiten der Profilgewinnung aus Verkehrsdaten im Hinblick auf Strafermittlungsverfahren als „a new dimension in surveillance, as compared to traditional police powers“.
[146] Lepperhoff/Tinnefeld, RDV 2004, 7 [9].
[147] LG Ulm, MMR 2004, 187 [187]; LG Bonn, DuD 2004, 628 [628f.]; ebenso OLG Linz, MMR 2005, 592 [592] für die ganz ähnliche Fragestellung im Hinblick auf §149a öStPO.
[148] Bär, MMR 2002, 358 [359f.]; ders., MMR 2004, 187 [187]; ders., MMR 2005, 626 [627]; Dietrich, GRUR-RR 2006, 145 [147]; Löwe/Rosenberg- Schäfer, §100g Rn. 22 und §100a Rn. 21; Splittgerber/Klytta, K&R 2007, 78 [82]; Wiebe, MMR 2005, 828 [829].
[149] LG Stuttgart, MMR 2005, 624 [625]; 2005, 628 [628f.]; LG Würzburg, NStZ-RR 2006, 46 [46]; LG Hechingen, NJW-RR 2006, 1196 [1197]; LG Hamburg, MMR 2005, 711 [712]; ebenso OGH, MMR 2005, 827 [828] für die vergleichbare Entscheidung zwischen §§149a öStPO / 87b Abs. 3 öUrhG.
[150] Burhoff, ZAP 2002, Fach 22, 359 [360]; Malek, Strafsachen im Internet, Rn. 397; KKStPO- Nack, §100g Rn 11; Sankol, MMR 2006, 361 [365].
[151] In allen vorbezeichneten Entscheidungen wird anerkannt, dass der Access Provider intern zunächst Verkehrsdaten für die Beauskunftung verarbeiten muss. Gleichwohl sind die Entscheidungen im Ergebnis unzutreffend: Allein auf den Namen abzustellen, der zweifelsohne an sich Bestandsdatum ist, isoliert fälschlicherweise das rein äußerliche Erscheinungsbild von Daten von den Informationen, die bei der Ermittlung der Daten verarbeitet und vor allem auch vom Informationsempfänger erlangt werden; so auch Einziger/Schubert/Schwabl/Wessely/Zykan, MR 2005, 113 [115] und Wiebe, MMR 2005, 828 [829]. Dies ist für die eigentliche Fragestellung jedoch nicht entscheidend.
[152] LG Stuttgart, MMR 2005, 624 [625]; das LG Hamburg, a.a.O., hat insoweit die Begründung des LG Stuttgart über fünf Absätze wörtlich übernommen. Das LG Würzburg, a.a.O., hat sich unter Bezugnahme auf diese Entscheidungen der Auffassung angeschlossen. Im Ergebnis ebenso LG Hechingen a.a.O. unter Hinweis darauf, dass in der amtlichen Begründung zu §§100g, 100h StPO, BT-Drs. 14/7008, S. 7, nicht zwischen statischen und dynamischen IP-Adressen differenziert wird.
[153] Bei ISDN-Mehrgeräteanschlüssen können Telefonnummern (MSN) in bestimmten Grenzen hinzubestellt und abbestellt werden, ohne dass dadurch der Bestand des Anschlusses berührt wird. Ebenso können einem Internet-Zugang mehrere statische IP-Adressen zugeordnet werden.
[154] So auch Schramm, DuD 2006, 785 [787].
[155] Siehe oben B II 2 d aa.
[156] Sogenannte Points of Presence (PoP).
[157] Bundesnetzagentur, Beschluss BK 4a-06-039/R vom 13.09.2006, http://www.bundesnetzagentur.de/media/archive/7381.pdf , S. 4.
[158] Mit „Reverse DNS“, siehe Wikipedia: Rerverse DNS, http://de.wikipedia.org/wiki/Reverse_DNS , in Verbindung mit einem Traceroute, also einer Verfolgung des Verbindungsweges.
[159] BeckTKG- Robert, §96 Rn. 2.
[160] Vgl. Heise Online, AOL startet Hotspot-Flatrate, 10.05.2006, http://www.heise.de/newsticker/meldung/72928.
[161] Der Gesetzgeber hat hier die abweichende Terminologie der DSRLeK übernommen: „Verarbeitung“ ist hier als Oberbegriff für jedweden Umgang mit Daten, also nach eigentlicher TKG-Terminologie Erhebung und Verwendung, zu verstehen; vgl. oben B I 4; BeckTKG- Wittern, §98 Rn. 6.
[162] BeckTKG- Robert, §96 Rn. 3.
[163] Ebendort, Rn 8.
[164] Vgl. Abb. 1.
[165] Falls nicht, wie bei vielen Access Providern üblich, nach 24 Stunden zwangsweise die Verbindung getrennt wird.
[166] Simitis- Bizer, §3a Rn 1, Dix, DuD 2003, 234 [235].
[167] Siehe oben C I 3 a.
[168] Bosse/Richter/Schreier, CR 2007, 79 [82]; BeckTKG- Dahlke, §45e Rn. 4 hinsichtlich des Einzelverbindungsnachweises.
[169] Das hat der Gesetzgeber durch das TKG-Änderungsgesetz zum Ausdruck gebracht, indem er in §96 Abs. 2 Satz 1 eine Öffnungsklausel sogar für ausdrücklich durch andere Gesetze bestehende Verwendungspflichten eingefügt hat.
[170] Tinnefeld in Roßnagel, Handbuch Datenschutzrecht, 4. Teil, Rn. 36.
[171] Fisahn, ZRP 2001, 49 [53].
[172] Eschenbach/Niebaum, NVwZ 1994, 1079 [1080] in kritischem Bezug auf BVerfG E 89, 214.
[173] EuGH EuZW 2004, 245 [252: Abs. 96] hinsichtlich der DSRL; siehe auch oben C I 3 a.
[174] „oder zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Zeitraum“ ist insgesamt gegenüber dem Wortlaut des §6 Abs. 3 TDSV eingefügt worden.
[175] BeckTKG- Robert, §96 Rn. 15, m.w.N.
[176] RP Darmstadt, MMR 2003, 213 [213].
[177] LG Darmstadt, GRUR-RR 2006, 173 [174]; Dix, DuD 2003, 234 [235].
[178] AG Darmstadt, a.a.O. [636]; das AG Darmstadt war das gemäß §17 Abs. 1 ZPO zuständige Gericht für die seinerzeit rechtlich selbständige DTAG-Tochter T-Online International AG, die der bundesweit größte Access Provider war.
[179] Dix, DuD 2003, 234 [235].
[180] J. Breyer, DuD 2003, 491 [492].
[181] Dies ist hinsichtlich der Entgeltermittlungssysteme neuerdings ohnehin durch Qualitätskontrolle oder Sachverständigengutachten der Bundesnetzagentur turnusmäßig nachzuweisen, §45g Abs. 2 TKG.
[182] AG Darmstadt, a.a.O. [635f.]; dies verkennt BeckTKG- Wittern, §97 Rn 5.
[183] J. Breyer, a.a.O.; Eckhardt, K&R 2006, 293 [295], m.w.N.
[184] BeckTKG- Dahlke, §45e Rn. 4; Bundesnetzagentur, Stellungnahme für den Ausschuss für Wirtschaft und Technologie des 16. Deutschen Bundestages zum Entwurf eines Gesetzes zur Änderung telekommunikationsrechtlicher Vorschriften, Ausschussdrucksache 16(9)361 vom 13.10.2006, S. 2.
[185] Westdeutscher Rundfunk, Datenschutz: Kein Einzelverbindungsnachweis bei Telefon-Flatrate, 14.06.2005, http://www.wdr.de/radio/wdr2/quintessenz/255822.phtml, unter Bezugnahme auf die Bundesnetzagentur und den BfDI.
[186] BeckTKG- Dahlke, §45e Rn. 25, verkennt jedoch nicht, dass der Wortlaut etwas anderes vorgibt.
[187] Vgl. oben D I 4.
[188] Pflichtbestandteil meint, dass der Kunde darauf einen Anspruch aus §45e TKG hat.
[189] Bisher ist dies von der Bundesnetzagentur im Rahmen der Auslegung von §14 TKV unverbindlich geregelt worden und es ist anzunehmen, dass diese Auffassung gemäß §45e Abs. 2 verbindlich verfügt wird (vgl. BeckTKG- Dahlke, §45e Rn. 27-29 und 31).Die Bundesnetzagentur hat d. Verf. am 05.03.2007 mitgeteilt, dass eine Verfügung nach §45e Abs. 2 TKG sich noch in Vorbereitung befindet, dass aber jedenfalls die abgehende Telefonnummer bei ISDN-Anschlüssen, an denen mehrere Telefonnummern (MSN) anliegen, Pflichtbestandteil des Einzelverbindungsnachweises sein wird.
[190] Die meisten Email-Anbieter verzeichnen im Kopfzeilenbereich von Emails die IP-Adresse des Absenders.
[191] AG Darmstadt, MMR 2005, 634 [635]
[192] AG Darmstadt, a.a.O.; das Gericht fasst diesen Sachverhalt unter §97 Abs. 3 TKG, wobei aber Abs. 1 Satz 2 einschlägig wäre.
[193] So Ohlenburg, MMR 2004, 431 [435].
[194] Jedenfalls bei nicht marktbeherrschenden Unternehmen; bei diesen könnte die Bundesnetzagentur gemäß §42 Abs. 4 Satz 3 TKG n.F. ein Diskriminierungsverbot gegenüber Endkunden verhängen (dieses bestand bisher automatisch nach §2 TKV; vgl. BR-Drs. 359/06 S. 40f.). Zu Flatrate-Kündigungen vgl. Heise Online, O2 kündigt WAP-Powersaugern die Flatrate, 24.10.2006, http://www.heise.de/newsticker/meldung/79935.
[195] BeckTKG- Wittern, §100 Rn. 6 unter Verweis auf §109 Abs. 2 TKG.
[196] Köcher/Kaufmann, DuD 2006, 360 [363].
[197] Etwa MD5, vgl. Wikipedia: MD5, http://de.wikipedia.org/wiki/MD5.
[198] BeckTKG- Wittern, §100 Rn. 10.
[199] Wittern, a.a.O. Rn. 11 m.w.N.
[200] Ebenso Kitz, GRUR 2003, 1014 [1018] für §6 TDDSG.
[201] Vgl. exemplarisch die AGB der DTAG für T-Online, Ziffer 4.2, http://www.t-com.de/dlp/agb/18306.pdf.
[202] Siehe oben B I 2 a.
[203] „Spätestens“ der Inhalt der Datei; ob schon die Information, ob ein jeweiliges IP-Paket der Dateiübertragung oder einer anderen Anwendung dient (Stichwort „Netzneutralität“), Inhalt (oder Umstand) der Kommunikation ist, mag hier dahinstehen.
[204] Johnston, LNCS 2212/2001, 150 [157f.].
[205] A.A. Schmitz, MMR 2003, 214 [216], der in der gespeicherten Zuordnung nur ein Instrument für die individuelle Strafverfolgung sieht; ebenso a.A. Leutheusser-Schnarrenberger, ZRP 2007, 9 [11].
[206] So auch AG Darmstadt, a.a.O., mit zustimmender Anm. Kazemi.
[207] RP Darmstadt, MMR 2003, 213 [214].
[208] Ebendort; wenn das RP die Datensicherheit als notwendigen Bestandteil des Teledienstes ansah, hätte es allerdings auf §3 Abs. 1 TDDSG und nicht auf Abs. 2 abstellen müssen.
[209] J. Breyer, DuD 2006, 491 [493], lässt unklar, ob er §9 BDSG im Telemedienrecht gänzlich ausschließt oder nur als Erlaubnistatbestand ablehnt.
[210] Simitis- Ernestus, §9 Rn. 1.
[211] Ebendort, Rn. 2; Schmitz,, MMR 2003, 114 [116].
[212] LG Hamburg, MMR 2005, 55 [57].
[213] §§8 bis 11 TDG sind durch die (bis auf die numerischen Verweise) unveränderten §§7 bis 10 TMG ersetzt worden.
[214] LG Hamburg, a.a.O. [56f.]; ebenso Czychowski, MMR 2004, 514 [517].
[215] OLG Hamburg, MMR 2005, 453 [454ff.].
[216] OLG München, MMR 2005, 616.
[217] KG Berlin, MMR 2007, 116, ablehnend auch für §242 BGB als Anspruchsgrundlage [117].
[218] LG Flensburg, GRUR-RR 2006, 174.
[219] OLG Frankfurt/Main, MMR 2005, 241 [243].
[220] Abgelehnt worden sind eigentlich die einstweiligen Verfügungen, für die der Auskunftsanspruch offensichtlich hätte bestehen müssen; gleichwohl haben, bis auf das OLG München, die Gerichte deutlich die Argumente gegen eine Auskunftspflicht hervorgehoben.
[221] Sieber/Höfinger, MMR 2004, 575 [579f.]; Spindler, MMR 2005, 243 [245]; Linke, MMR 2005, 456 [457f.]; Kaufmann/Köcher, MMR 2005, 61 [61f.]; Kitz, GRUR 2003, 1014 [1019]; Einzinger/Schubert/Schwabl/Wessely/Zykan, MR 2005, 113 [117] für das vergleichbare österreichische Recht, jeweils m.w.N.
[222] Zu der Frage, ob regelmäßig §113 TKG oder §100g StPO Anwendung finden muss, siehe oben C IV 2.
[223] Steele, Liverpool Law Review 2002, 19 [26].
[224] Ebendort [26f.].
[225] Erklärung des Königreichs Schweden zur Öffentlichkeit der Verwaltung, Schlussakte über die Bedingungen des Beitritts des Königreichs Norwegen, der Republik Österreich, der Republik Finnland und des Königreichs Schweden und die Anpassungen der die Europäische Union begründenden Verträge, ABl. C 241 vom 29.08.1994, S. 397.
[226] LG Frankfurt/Main MMR 2004, 344; erläutert von Krasemann, JurPC 140/2004.
[227] Bär, MMR 2004, 340 [342] (anders noch ders., MMR 2002, 358, [360]); Jandach, FS Kilian, S. 449f.; KKStPO- Nack, §100g Rn. 6; Löwe/Rosenberg- Schäfer, §100g Rn. 1.
[228] BVerfG E 65, 1 [65f.].
[229] Heidrich, DuD 2003, 237 [238].
[230] So Bär, MMR 2004, 340 [343].
[231] Löwe/Rosenberg- Schäfer, §100a Rn. 62.
[232] BT-Drs. 15/5213, S. 32f.
[233] Ebendort.
[234] A.A. Dietrich, GRUR-RR 2006, 145 [147].
[235] Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums, ABl. L 157 vom 30.04.2004, S. 45-86.
[236] BR-Drs. 64/07.
[237] Die Änderungen werden wegen der größten praktischen Relevanz im Internet hier anhand des UrhG aufgezeigt; parallele Vorschriften werden auch im Patent-, Gebrauchsmuster-, Marken-, Halbleiterschutz-, Geschmacksmuster- und Sortenrecht eingeführt.
- Arbeit zitieren
- Dennis Jlussi (Hrsg.) (Autor:in), 2007, Studienarbeiten im IT-Recht, München, GRIN Verlag, https://www.grin.com/document/81390
Ähnliche Arbeiten
Kostenlos Autor werden
Kommentare