Am 3. Mai 2011 ist das De-Mail-Gesetz in Kraft getreten. Interessierte Anbieter können damit beim Bundesamt für Sicherheit in der Informationstechnik die Akkreditierung als De-Mail-Diensteanbieter (”De-Mail-Provider”) beantragen. Im Rahmen der Akkreditierung müssen alle künftigen De-Mail-Provider nachweisen, dass sie die durch das De-Mail-Gesetz geforderten hohen Anforderungen an die organisatorische und technische Sicherheit der angebotenen De-Mail-Dienste erfüllen.

Jeder Anbieter, der diese Anforderungen erfüllt, kann sich als De-Mail-Provider akkreditieren lassen. Bis jetzt haben United Internet (GMX, WEB.DE), Mentana Claimsoft, die Deutsche Telekom AG und die Deutsche Post AG angekündigt, sich akkreditieren zu lassen.

Quelle: Pressemitteilung des BMI vom 04.05.2011

Bei einem Hackerangriff auf das Playstation-Netzwerk von Sony sind vermutlich Daten von mehr als 70 Millionen Nutzern gestohlen worden.  Sony hat auf einer Website auf den Umstand hingewiesen.

Vor dem Hintergrund dieses Falles sollen an dieser Stelle die gesetzlichen Anforderungen an die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten dargestellt werden.

Seit dem 1. September 2009 wurde die “Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten” in das deutsche Datenschutzrecht aufgenommen.
Dies bedeutet, dass im Fall einer Datenpanne die Daten verarbeitende Stelle unter bestimmten Voraussetzungen verpflichtet ist, die Datenschutz-Aufsichtsbehörde und die von der Panne Betroffenen über die Datenpanne zu informieren.

I. Gesetzliche Regelung
Die datenschutzrechtlichen Informationspflichten finden sich in § 42a BDSG, § 15a TMG sowie § 93 Abs. 3 TKG.
Am 19.12.2009 ist die Richtlinie 2009/136/EG in Kraft getreten, deren Art. 2 Nr. 1 und 4 eine Ergänzung von Art. 4 RL 2002/58/EG bzgl. einer Informationspflicht für den Fall einer “Verletzung des Schutzes personenbezogener Daten” vorsieht. Die Informationspflicht gemäß der Richtlinie ist weitergehend als die bisherigen deutschen Regelungen. Da die Richtlinie bis zum 25. Mai 2011 in nationales Recht umzusetzen ist, werden hier noch Anpassungen an das deutsche Recht erfolgen.

II. Arten von Daten
1. § 42a BDSG
Die Informationspflicht in § 42a BDSG beschränkt sich auf die dort genannten Arten von Daten. Dies sind:
besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG
personenbezogene Daten, die einem Berufsgeheimnis unterliegen
personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten bzw. den Verdacht solcher beziehen,
personenbezogene Daten zu Bank- oder Kreditkartenkonten.

2. § 15a TMG, § 93 Abs. 3 TKG
§ 15 a TMG dagegen betrifft sämtliche Bestands- und Nutzungsdaten (§§ 14 und 15 TMG). Dies gilt auch für § 93 Abs. 3 TKG. Dies hat zur Folge, dass jedes Unternehmen mit einer Website entsprechende Daten vorhält und von einer Informationspflicht betroffen sein kann.

III. Verpflichteter
§ 42a BDSG betrifft nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG und öffentlich-rechtliche Wettbewerbsunternehmen gem. § 27 Abs. 1 Satz 1 Nr. 2 BDSG.
§ 15 TMG und § 93 Abs. 3 TKG dagegen enthalten keine solche Einschränkung und betreffen somit alle Diensteanbieter. Gem. § 2 Nr. 1 TMG ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies können auch öffentlich-rechtliche Körperschaften sein. § 1 Abs. 1 Satz 2 TMG stellt zudem klar, dass das TMG für alle Anbieter “einschließlich der öffentlichen Stellen” gilt.

IV. Unrechtmäßige Übermittlung oder Kenntniserlangung
Eine Übermittlung liegt vor, wenn die Daten verarbeitende Stelle selbst aktiv und zielgerichtet Daten an Dritte weitergibt.
Kenntniserlangung genügt, so dass kein aktives Handeln der verantwortlichen Stelle erforderlich ist, sondern auch Hackerangriffe etc. erfasst werden.
Unrechtmäßig ist eine Kenntniserlangung dann, wenn sie gegen § 4 Abs. 1 BDSG verstößt, also keine rechtliche Grundlage hat und der Betroffene nicht eingewilligt hat.
Eine unrechtmäßige Kenntniserlangung kommt in folgenden Fällen in Betracht:
datenschutzwidrige Entsorgung von Altgeräten
Diebstahl oder Verlust einer Daten-CD-ROM, Notebooks, Tablet-PCs, USB-Sticks oder anderen mobilen Devices
Hack einer Datenbank
unberechtigter Weiterverkauf von Daten

Es ist nicht erforderlich, dass eine Kenntnisnahme bewiesen werden kann, bloße Anhaltspunkte hierfür genügen.

V. Drohende schwerwiegende Beeinträchtigung
Zudem müssen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Zur Gewichtung der Beeinträchtigung werden Kriterien wie Art und Umfang der betroffenen Daten wie auch die potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung herangezogen.
In der Regel dürfte bei den in § 42a BDSG genannten Daten von einer schwerwiegenden Beeinträchtigung auszugehen sein.
Bei reinen Bestandsdaten nach TMG oder TKG (z. B. Name, Anschrift des Nutzers) ist von einer geringeren Beeinträchtigung auszugehen.
Gem. Art. 4 Abs. 3 RL 2002/58/EG kann man diskutieren, ob im Falle einer sicheren Verschlüsselung eine Informationspflicht entfällt, da demnach keine Benachrichtigung zu erfolgen hat, wenn zur Zufriedenheit der zuständigen Behörde nachgewiesen wurde, dass geeignete technische Schutzmaßnahmen getroffen wurden.

VI. Inhalt und Umfang der Informationspflicht
Wenn eine Informationspflicht besteht, so muss die verantwortliche Stelle unverzüglich (also ohne schuldhaftes Zögern) sowohl die zuständige Aufsichtsbehörde als auch die Betroffenen informieren, § 42a S. 2 - 5 BDSG.

1. Benachrichtigung der Behörde
Vor dem Betroffenen ist zunächst die Aufsichtsbehörde zu informieren. Gem. § 38 Abs. 1 S. 2 BDSG sind die Aufsichtsbehörden zur Beratung und Unterstützung des Benachrichtigungspflichtigen verpflichtet. Folglich kann es im Einzelfall ratsam sein, die Aufsichtsbehörden möglichst frühzeitig einzuschalten.

2. Benachrichtigung der Betroffenen
Auch der von der Datenpanne Betroffene ist unverzüglich zu informieren.
Die Benachrichtigungsfrist verlängert sich jedoch gem. § 42a S. 2 BDSG um den Zeitraum,
(1) der nötig ist, um unverzüglich angemessene Maßnahmen zur Sicherung der Daten zu ergreifen, und
(2) der abgewartet werden muss, damit eine etwaige Strafverfolgung nicht mehr gefährdet ist.

3. Anforderungen an die Information
Die Anforderungen an die Information der Aufsichtsbehörden und der Betroffenen sind unterschiedlich ausgeprägt, § 42a Satz 3 - 5 BDSG.
Nach § 42a S. 3 BDSG muss die Benachrichtigung des Betroffenen
(1) eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und
(2) Empfehlungen zur Vermeidung nachteiliger Folgen
enthalten.
Auch auf die Art der betroffenen Daten ist hinzuweisen.
Eine Benachrichtigung in Form einer E-Mail ist ausreichend.
Die Betroffenen sind einzeln zu benachrichtigen, es sei denn, eine Ausnahme gem. § 42a S. 5 BDSG liegt vor, also die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Dies kann insbesondere dann der Fall sein, wenn eine Vielzahl von Betroffenen existiert. In einem solchen Fall soll es gestattet sein, Anzeigen zu schalten, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen abgedruckt werden. Dieser Maßnahme vergleichbar geeignete Maßnahmen sind ebenfalls möglich. Entscheidend ist der betroffene Personenkreis.
Ein Hinweis auf der Website kann ausreichend sein, wenn nur die Anmeldedaten der Nutzer bekannt sind. Der Hinweis ist dann jedoch gut sichtbar auf der Website zu positionieren.
Sowohl im Rahmen der Benachrichtigung der Betroffenen als auch der Aufsichtsbehörden müssen gesetzliche Geheimhaltungspflichten sowie Berufsgeheimnisse gewahrt bleiben.

VII. Bußgeld
Ein Bußgeld von bis zu 300.000 Euro droht gem. § 43 Abs. 2 Nr. 7, Abs. 3 BDSG für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt. Eine Bußgeldandrohung bei einem Verstoß gegen § 15a TMG oder § 93 Abs. 3 TKG ist vom Gesetz dagegen nicht vorgesehen.

VIII. Fazit
Ob tatsächlich eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten im konkreten Fall vorliegt bedarf einer gründlichen Prüfung.

In einem Verfahren vor dem LG Berlin (03.05.2011, Az.: 16 O 55/11) hat das Gericht ausgeführt, dass  “unzuverlässige Recherchedienstleistungen” der Firma GuardaLey Ltd. dargelegt und glaubhaft gemacht wurden.

Diese Firma ist im Auftrag von Rechteinhabern bzw. Rechtsanwälten tätig, um im Internet insbesondere in Tauschbörsen (Filesharing) Rechtsverstöße aufzuspüren und zu protokollieren. Immer wieder berichten abgemahnte Anschlussinhaber davon, dass sie zu dem fraglichen Zeitpunkt aus den unterschiedlichsten Gründen keine Internetverbindung aufgebaut hatten und somit ein Urheberrechtsverstoß zum fraglichen Zeitpunkt über ihren Internetanschluss erfolgt sein konnte. Ins Zentrum der Kritik geraten die sog. Ermittlungsfirmen, da es immer wieder Zweifel an der Zuverlässigkeit der Ermittlungsmethoden gibt.

Im vorliegenden Fall ist problematisch, dass wohl nicht nur tatsächliche Datenübertragungen durch Up- und/oder Download von der Software erfasst werden, sondern auch bloße Downloadanfragen. Solche Anfragen stellen jedoch noch keine Urheberrechtsverletzung dar.

Wenn eine Unterscheidung zwischen legaler Downloadanfrage und illegalem Download von der Software nicht gewährleistet werden kann, so ergeben sich Zweifel an einer Vielzahl von Abmahnungen.

Es bleibt abzuwarten, wie der vorliegende Fall rechtskräftig entschieden wird.

Für weitere Fragen stehe ich (Rechtsanwalt Martin Kuhr) Ihnen gerne zur Verfügung unter:

Tel. 0621/3249788  oder Mail: ra@ra-kuhr.de

Wer umfassend vorträgt, wie er seinen Computer gegen unberechtigte Zugriffe gesichert hat und unerwartet und ohne vorherige Ankündigung von der Polizei besucht wird, die dann auch noch den Computer erfolglos nach eventuell vorhandender Filesharingsoftware durchsucht, kann nicht als Täter oder Störer einer angeblichen Urheberrechtsverletzung auf Zahlung in Anspruch genommen werden.

So schwerverständlich der Fall zu sein scheint, so wenig ist anzunehmen, dass diese Konstellation auf viele Abgemahnte zutrifft.

I. Sachverhalt

Im vorliegenden Fall wurde der Computer des Anschlussinhabers von der Polizei untersucht. Der Anschlussinhaber hatte zuvor keinen Hinweis darauf erhalten, dass die Polizei bei ihm vorbeikommen wird. Der Fall ereignete sich vor der Gesetzesnovelle des UrhG im Jahr 2008. Auf seinem Computer fand sich keine für Tauschbörsen erforderliche Software.

II. Entscheidung

Das LG Stuttgart (Urteil vom 28.06.2011, Az.: 17 O 39/11) hat entschieden, dass ein Anschlussinhaber seiner sekundären Darlegungslast genügt, wenn er als Täter oder Störer bzgl. einer Urheberrechtsverletzung im Zusammenhang mit einem Filesharing-System in Anspruch genommen wird und zu den Vorwürfen im Einzelnen detailliert Stellung nimmt und zudem auf seinem Computer keine relevanten Daten gefunden werden.

III. Fazit

Die vorliegende Entscheidung ist nicht verallgemeinerungsfähig. Sie basiert zudem auf der Rechtslage vor der Änderung des UrhG im Jahr 2008.

Entscheidend dürfte für das Gericht der Umstand gewesen sein, dass der Anschlussinhaber unvorbereitet Besuch von der Polizei bekam und diese keine relevanten Daten sicherstellen konnte.

Der Fall zeigt dennoch, dass längst nicht jede Ermittlung einer IP-Adresse und deren Zuordnung zu einem Anschlussinhaber einwandfrei funktioniert.

Es gilt somit wieder einmal der juristische Grundsatz: es kommt auf den Einzelfall an!

Für weitere Fragen stehe ich (Rechtsanwalt Martin Kuhr) Ihnen gerne zur Verfügung unter:

Tel. 0621/3249788  oder Mail: ra@ra-kuhr.de

Das gewerbliche Ausmaß nach § 101 Abs. 1 Satz 2 UrhG kann sich bei Rechtsverletzungen im Internet sowohl aus der Anzahl der Rechtsverletzungen (etwa Anzahl der öffentlich zugänglich gemachten Dateien) als auch aus der Schwere der Rechtsverletzung ergeben, so das OLG München (Beschluss vom 26.07.2011, Az.: 29 W 1268/11).

I. Ausgangslage

Im Rahmen der Ermittlung von Urheberrechtsverstößen durch Filesharing werden zunächst IP-Adressen ermittelt. Mit deren Hilfe kann der jeweilige Anschlussinhaber ermittelt werden. Voraussetzung ist jedoch, dass der behauptete Rechtsverstoß ein gewerbliches Ausmaß hat. Fraglich ist z. B., ob das gewerbliche Ausmaß bereits bei einem Lied, einem Hörbuch oder einer Software erfüllt ist.

II. Entscheidung

Das Gericht ist der Auffassung, dass bereits das Angebot einer Datei mit urheberrechtlich geschütztem Inhalt auf einer Internet-Tauschbörse ohne weitere Umstände ein gewerbliches Ausmaß im Sinne von § 101 Abs. 2 UrhG aufweist. Ein solches Verhalten stelle keine private sondern eine gewerbliche Nutzung dar.

Das Gericht lehnt es ab, das gewerbliche Ausmaß eines Angebots auf Internet-Tauschbörsen auf Rechtsverletzungen innerhalb einer Auswertungsphase zu beschränken. Anders sieht dies hingegen das OLG Köln (Beschluss vom 27.12.2010, Az.: 6 W 155/10).

III. Fazit

Wie so oft, so ist auch hier zu konstatieren, dass unterschiedliche Gerichte ein und denselben Sachverhalt unterschiedlich werten.

Die Entscheidung des OLG München bedeutet in der Folge, dass der Rechteinhaber vor dem Landgericht einen Auskunftsanspruch gegenüber dem Provider geltend machen kann und somit Name und Anschrift des Anschlussinhabers erhält, selbst wenn es sich “nur” um ein Lied oder einen Film handelt, der im Rahmen von Filesharing-Aktivitäten verbreitet wurde.

Für weitere Fragen stehe ich (Rechtsanwalt Martin Kuhr) Ihnen gerne zur Verfügung unter:

Tel. 0621/3249788  oder Mail: ra@ra-kuhr.de

Wird ein urheberrechtlich geschütztes Werk wie z. B. ein Film in ein peer-to-peer Netzwerk (Musiktauschbörse oder auch Filesharing genannt) eingestellt, so liegt ein gewerbliches Ausmaß der Rechtsverletzung gem. § 101 Abs. 1, Abs. 2 UrhG nach Ablauf einer Zeitspanne von sechs Monaten nach dem Erscheinungsdatum des Werkes nur ausnahmsweise vor, so OLG Köln, Beschluss vom 05.05.2011, Az.: 6 W 91/11.

I. Ausgangslage

Im Rahmen der Ermittlung von Urheberrechtsverstößen durch Filesharing werden zunächst IP-Adressen ermittelt. Mit deren Hilfe kann der jeweilige Anschlussinhaber ermittelt werden. Voraussetzung ist jedoch, dass der behauptete Rechtsverstoß ein gewerbliches Ausmaß hat. Fraglich ist z. B., ob nach einem gewissen Zeitablauf kein gewerbliches Ausmaß mehr angenommen werden kann. Dies hätte dann zur Folge, dass ein Auskunftsersuchen eines Rechteinhabers nach Name und Anschrift eines Anschlussinhabers ins Leere gehen würde.

II. Entscheidung

Im vorliegenden Fall erhielt der ins Filesharing eingestellte Film mehrerer Oscars. Aus diesem Umstand folgerte das gericht nun, dass ein gewerbliches Ausmaß einer Rechtsverletzung gem.  § 101 Abs. 1, Abs. 2 UrhG durch Einstellen des Filmes in ein peer-to-peer Netzwerk (Filesharing-Netzwerk, Internet-Tauschbörse) innerhalb eines Zeitraumes von sechs Monaten ab der Bekanntgabe der Oscarverleihung gegeben ist.

III. Fazit

Die Entscheidung des OLG Köln ist eine am Einzelfall orientierte Entscheidung. Generell lässt sich sagen, dass im Bezirk des OLG Köln nach Ablauf der sechsmonatigen Verwertungsphase kein gewerbliches Ausmaß angenommen werden kann und somit ein Auskunftsersuchen des Rechteinhabers ins Leere gehen wird. Es wird sich zeigen, ob das Landgericht Köln dieses tatsächlich berücksichtigen wird.

Für weitere Fragen stehe ich (Rechtsanwalt Martin Kuhr) Ihnen gerne zur Verfügung unter:

Tel. 0621/3249788  oder Mail: ra@ra-kuhr.de

In diesem Kontext sind noch folgende Entscheidungen interessant:

OLG Köln, Beschluss vom 09.02.2009, Az.: 6 W 182/08; OLG Köln, Beschluss vom 27.12.2010, Az.: 6 W 155/10

Das Oberlandesgericht Köln (Beschluss vom 20.05.2011, Az.: 6 W 30/11) hat entschieden, dass eine Abmahnung keine Hinweise enthalten darf, die einen Verbraucher von der Abgabe einer Unterlassungserklärung abhalten könnten.

I. Entscheidung
Das Gericht hat entschieden, dass Kosten eines Verfahrens auf den Erlass einer einstweiligen Verfügung vom Abgemahnten nicht zu erstatten sind, wenn der ursprünglich Abgemahnte eine zu weitgehend vorformulierte Unterlassungserklärung vom Abmahner vorgelegt bekommt und darauf nicht reagiert.
Das Gericht sah den Abgemahnten zudem als Störer für die Rechtsverletzung an. Dieser hatte vorgetragen, um den Tatzeitpunkt herum mehrere Tage nicht vor Ort gewesen zu sein.
Nach Auffassung des Gerichts hätte der Abgemahnte durchaus sein WLAN komplett ausschalten können.
Hier geht das Gericht sogar noch weiter als der BGH, der lediglich eine ordnungsgemäße Verschlüsselung und ein sicheres Paßwort verlangte.

II. Fazit
Zu beachten ist, dass auch im vorliegenden Fall die Abmahnung berechtigt war und somit Schadensersatzansprüche durchaus bestehen können. Die Entscheidung ist sehr auf den konkreten Fall bezogen.
In jedem Fall ist anzuraten, nach dem Erhalt einer Abmahnung diese unverzüglich von einem Fachmann überprüfen zu lassen.

Für weitere Fragen stehe ich (Rechtsanwalt Martin Kuhr) Ihnen gerne zur Verfügung unter:

Tel. 0621/3249788  oder Mail: ra@ra-kuhr.de

Wenn Sie anwaltliche Hilfe wünschen, so können Sie sich wie folgt an uns wenden:

1. Telefon: 0621/3249788

2. E-Mail an ra@ra-kuhr.de

3. Fax: 0621/3249789

Das Landgericht Düsseldorf (Urteil vom 09.02.2011, Az.: 12 O 68/10) hat entschieden, dass zur Berechnung der Schadensersatzhöhe bei Filesharing die Grundsätze der Lizenzanalogie herangezogen werden können. Die Tarife der GEMA können hier nach Auffassung des Gerichts als Grundlage für einen fiktiven Lizenzvertrag herangezogen werden.

Das Gericht erklärte den GEMA-Tarif VR-W I (für bis zu 10.000 Streams Mindestvergütung in Höhe von 100 Euro) für einschlägig für die Schätzung der Höhe des Schadensersatzes. Auf diesen Tarif aufbauend bejahte das Gericht einen Aufschlag in Höhe von 50% wegen Streaming. Nach Auffassung des Gerichts hat daraufhin noch eine Verdoppelung zu erfolgen, um die besondere Gefährdungslage durch die Filesharingnetzwerke angemessen zu berücksichtigen.
Somit kam das Gericht auf einen Betrag in Höhe von 300 Euro pro zur Verfügung gestellten Musiktitel.

Für weitere Fragen stehe ich (Rechtsanwalt Martin Kuhr) Ihnen gerne zur Verfügung unter:

Tel. 0621/3249788  oder Mail: ra@ra-kuhr.de

Das Amtsgericht Frankfurt (Az.: 30 C 2598/08-25,  Urteil vom 25.03.2010) hat entschieden, dass ein Anschlussinhaber nicht für eine Urheberrechtsverletzung haftet, die ein Dritter über seinen Internetanschluss begangen hat, wenn der Anschlussinhaber den Dritten zuvor ausdrücklich darauf hingewiesen hat, dass er diesen Anschluss nur für legale Zwecke nutzen darf und der Dritte nicht bereits in der Vergangenheit durch Urheberrechtsverstöße aufgefallen war.

Im vorliegenden Fall wurde ein Musikstück über eine Filesharing-Software durch einen Dritten über den Anschluss des Beklagten heruntergeladen.

Der Anschlussinhaber musste somit weder Schadensersatz noch Anwaltskosten erstatten.

Hiermit folgt das Gericht der Rechtsprechung des LG Frankfurt und des OLG Frankfurt.