Internet-Law

In der heutigen Tagespresse wird darüber berichtet, dass Telefonanbieter Daten ihrer Kunden deutlich länger speichern würden, als bisher bekannt. Dies ergäbe sich, so z.B. die Berliner Zeitung, aus einer vertraulichen Aufstellung der Generalstaatsanwaltschaft München. Diese Aufstellung, die mir ebenfalls vorliegt, nennt sich „Leitfaden zum Datenzugriff“ und stammt vom Juni 2011, ist also relativ aktuell. Dieser Leitfaden dient der Information von Staatsanwaltschaften. Dort enthalten ist neben einer ausführlichen Darstellung der Befugnisse im Bereich der TK-Überwachung u.a. auch eine ausführliche Übersicht über die Speicherpraxis von Telefonabietern und Providern, die ich hier in Auszügen wiedergeben möchte. An der einen oder anderen Stelle ist man doch erstaunt, wie lange tatsächlich gespeichert wird. Von den großen Anbietern speichert u.a. Vodafone bedenklich lange, kleinere bzw. regionale Anbieter wie Hanse-Net oder M-Net können dies allerdings noch toppen.

Übersicht rückwirkende Verkehrsdaten der Netzbetreiber

T-Mobile D1
1 – 30 Tage: Alle Verkehrsdaten liegen vollständig vor
31 – 180 Tage:
– T-Mobile-Rufnummern: 80 Tage abgehend
– Prepaidkunden: 180 Tage
– Serviceprovider: 180 Tage

Vodafone (D2) Mobilfunkbereich
1- 7 Tage: Alle Verkehrsdaten liegen vollständig vor (inkl. IMSI-IMEI-Geo-Daten)
30 Tage: Alle gebührenpflichtigen ankommenden und alle abgehenden Verkehrsdaten liegen vollständig vor (inkl. IMSI, IMEI, Geo-Daten)
31 – 80 Tage: IMEI-Kennungen können bis zu diesem Zeitpunkt vollständig beauskunftet werden
81 – 180 Tage: Alle noch gespeicherten Verkehrsdaten liegen ohne IMEI, IMSI, Geo-Daten vor, mit der Folge, dass die abgehenden Daten zu IMEI-Kennungen ab diesemZeitpunkt nicht mehr festgestellt werden können.

Vodafone Festnetzbereich (Integration von Arcor)
92 Tage: Alle Verkehrsdaten liegen vollständig vor

E-Plus
90 Tage: Alle Verkehrsdaten liegen vollständig vor

Telefonica O2
1 – 7 Tage: Alle Verkehrsdaten liegen vollständig vor
8 – 30 Tage: Es liegen nur noch abrechnungsrelevante Daten vor. Eingehende Anrufe liegen nur vor, sofern sie von einem Fremdnetz kamen; rkehrsdaten von Serviceprovidern liegen vor

Deutsche Telekom AG (DTAG)
0 Tage: Ankommende Verkehrsdaten werden nicht gespeichert
3 Tage: Abgehende Verkehrsdaten liegen vollständig vor (auch Flatrate)
4 – 80 Tage: Speicherung ist abhängig vom Kundenwunsch.

HanseNet
180 Tage: Alle Verkehrsdaten liegen vollständig vor

M-Net
180 Tage: Alle Verkehrsdaten liegen vollständig vor

BT Germany
180 Tage: netzübergreifend beide Richtungen, ankommende Verbindungen können unvollständig sein

Übersicht Funkzellendaten der Netzbetreiber

T-Mobile D1
30 Tage (kommend) 30 Tage (gehend), Telefonie und SMS vollständig

Vodafone (D2)
7 Tage (kommend) 80 Tage (gehend), Telefonie und SMS vollständig

E-Plus
90 Tage (kommend) 90 Tage (gehend), Telefonie und SMS vollständig

Telefonica O2
7 Tage (kommend) 30 – 182 Tage (gehend), Telefonie und SMS vollständig

Übersicht Speicherfristen IP-Adressen Diensteanbieter

Web.de
30 Tage

1 & 1
60 Tage

GMX
Daten werden beim nächsten Login überschrieben

Übersicht Speicherfristen IP-Adressen Netzbetreiber

Freenet
Keine Speicherung

1 & 1
60 Tage (Non-Access-Provider; als VoIP Anbieter)

Kabel Deutschland
Keine Speicherung, bei aktuellem Login IP-Adressen Feststellung möglich; aber hoher technischer Aufwand

Net Cologne
4 Tage

Versatel Deutschland
3 Tage

Dieses Blog wird bei 1&1 gehostet, was möglicherweise ein Fehler ist, aber ich wollte die Kosten niedrig halten, weil ich mit Internet-Law keine Einnahmen erziele. Wie ich jetzt erkennen musste, hat dafür der Provider 1&1 ohne mein Wissen und gegen meinen Willen mit diesem Blog Einnahmen erzielt. Und damit meine ich nicht die monatlichen Hosting-Entgelte, die 1&1 von mir bekommt. Aber der Reihe nach.

Einige meiner Leser haben bemerkt, dass die Inhalte meines Blogs in den letzten beiden Tagen nicht vollständig verfügbar waren. Bei sämtlichen Beiträgen aus den Jahren 2008 – 2010 endete der Versuch eines Aufrufs auf einer Fehlerseite mit der Statusmeldung 404, allerdings einer ganz besonderen. Gleiches gilt für die „Categories“ im Blog, die ebenfalls auf besagter 404-Seite endeten.

Hintergrund war eine von 1&1 angekündigte Serverumstellung am 05.09.2011 um 8 Uhr („Umstellung Ihres 1&1 Hosting Paketes auf eine aktualisierte Betriebsumgebung“).

Gegen Mittag des 05.09.2011 habe ich zunächst bemerkt, dass die Feeds nicht mehr funktionierten und kurze Zeit später dann auch, dass sämtliche älteren Beiträge nicht mehr aufrufbar waren, obwohl der Content in WordPress unverändert angezeigt worden ist.

Vom 1&1 Support gab es nach zwei Tagen heute immerhin die Rückmeldung, dass man meine Anfrage an die zuständige Fachabteilung weitergeleitet hat. Soviel Service ist wirklich beeindruckend. Ich musste daher das Problem heute mit externer Hilfe lösen. Das Blog sollte also jetzt wieder wie gewünscht funktionieren.

Durch diese Geschichte habe ich zufällig Kenntnis davon erlangt, wie die 404-Seiten, die 1&1 seinen ahnungslosen Hosting-Kunden per Default aufzwingt, ausgestaltet sind. Wenn man beispielsweise „www.internet-law.de/2010/07“ eingegeben hat, erschien bis heute Mittag eine Domainparking-Seite von Sedo, auf der u.a. Werbung für Anwaltskanzleien (!) eingeblendet worden ist. 1&1 missbraucht also meine Domain und meinen Webspace für eigene Werbezwecke. In meinem Fall handelte es sich zudem um sog. Sponsored Links, die überwiegend von Rechtsanwälten stammten, was angesichts des Werbekonzepts von Sedo natürlich naheliegend ist. Ich habe also auf meinem Blog, unfreiwillig und unbewusst, kostenlose Werbung für Anwaltskollegen und damit potentielle Konkurrenten gemacht und damit gleichzeitig die Kassen von 1&1 und Sedo aufgefüllt. Sedo und 1&1 sind übrigens konzernmäßig miteinander verbunden und beides Tochterunternehmen der United Internet AG.

Offenbar praktiziert 1&1 dieses „Geschäftskonzept“ seit dem Jahr 2010, wie man in anderen Blogs nachlesen kann. Wenn man sich im „Control-Center“ von 1&1 umsieht, findet man äußerst versteckt den Punkt „Domainparking“ unter dem sich der Hinweis befindet:

Wenn Sie noch keine eigenen Inhalte hinterlegt haben, blenden wir Ihren Besuchernstatt einer „Baustellenseite“ Suchergebnisse ein, die in inhaltlichem Zusammenhang mit Ihrem Domain-Namen stehen.

Dort steht natürlich kein Wort davon, dass es sich um ein kommerzielles Domainparking handelt, mit dem 1&1 Werbeinnahmen erzielt und auch nichts davon, dass dies gewöhnliche Fehlerseiten ebenfalls betrifft. Wenn man diese – schwer auffindbare – Funktion deaktiviert, dann erscheint anschließend wieder eine normale 404-Seite. Dies habe ich vor einigen Stunden dann auch gemacht, da mein Blog keine Werbeplattform von 1&1 und Sedo ist.

Mit diesem Verhalten greift 1&1 nach meiner Einschätzung in grob vertragswidriger Art und Weise in geschützte Rechtspositionen seiner Kunden ein und nutzt die Domains und den Webspace der Hosting-Kunden dazu, um eigene Einnahmen zu erzielen. Diese Einnahmen stehen in Wirklichkeit natürlich dem Kunden zu und nicht 1&1, denn sie entstehen nur dadurch, dass Besucher der Website des Kunden auf diese Domainparking-Seite umgeleitet werden.

In den AGB von 1&1 findet man dazu übrigens nichts, vermutlich weil 1&1 ohnehin weiß, dass solche Klauseln der Inhaltskontrolle nicht standhalten würden.

Für die ahnungslosen Providerkunden ist dies, abgesehen davon, dass sich 1&1 ungerechtfertigt bereichert, noch aus weiteren Gründen problematisch. Denn für einen Außenstehenden ist nicht ohne weiteres erkennbar, dass sich 1&1 des Webservers des Kunden bemächtigt, um eigene Werbung zu schalten. Vielmehr sieht es auf den ersten Blick so aus, als würde es sich um eine Werbemaßnahme des Seitenbetreibers handeln. Das ist äußerst heikel, nachdem die Rechtsprechung dazu neigt, werbefinanzierte Websites als gewerblich bzw. geschäftsmäßig zu qualifizieren. Dadurch findet sich eine private Website oder ein privates Blog nämlich unfreiwillig sehr schnell im Anwendungsbereich des Wettbewerbs- und Markenrechts wieder und läuft damit auch noch Gefahr, für die grob vertragswidrige Werbung von 1&1 von Dritten in Haftung genommen zu werden.

Ich habe mich entschlossen, die Angelegenheit nicht auf sich beruhen zu lassen, sondern werde 1&1 zur Unterlassung auffordern und zur Auskunftserteilung darüber, welche Werbeeinnahmen man über derartige Einblendungen mit meinem Blog verdient hat. Außerdem bin ich der Ansicht, dass sich auch Verbraucherschutzorganisitationen für das dreiste und rechtswidrige Geschäftsmodell von 1&1 interessieren sollten.

Update vom 08.09.2011:
Der Kollege Hecksteden hat einen kurzen und treffenden Beitrag zum Thema geschrieben.

In einem Beitrag für Heise-Online und in diesem Blog habe ich unlängst einen SPD-Musterantrag zur Vorratsdatenspeicherung kritisiert. Alvar Freude, einer der Autoren dieses Musterantrags hat nunmehr hierzu, ebenfalls bei Heise, eine Replik verfasst, in der er mir vorwirft, ein verzerrendes Bild zu zeichnen.

Wer Verzerrungen behauptet, sollte allerdings sauber argumentieren. Alvar Freude führt in seiner Replik u.a. aus:

Für Deutschland sehen die Anträge eine maximale Speicherfrist von ca. 80 Tagen für IP-Adressen vor, die Dauer für etwaige andere Daten soll auf maximal 7 Tage begrenzt werden.

Genau das ergibt sich aber aus dem von mir kritisierten Musterantrag nicht. Dort heißt es vielmehr zur Speicherdauer:

Bei Beibehaltung einer europaweiten Verpflichtung ist die Maximalspeicherfrist von verdachtslos gespeicherten Daten auf sechs Monate, statt bisher auf zwei Jahre, festzulegen. Für sensible Daten wie beispielsweise Telefon-Verbindungsdaten sollte eine maximal auf wenige Tage beschränkte Speicherverpflichtung und hohe Zugriffshürden gelten (…)

Die Beauskunftung von Anschlussinhabern anhand einer IP-Adresse kann als milderes und weniger eingriffsintensives Mittel zur Aufklärung von Straftaten genutzt werden. Dabei sollte ein Abruf jedoch nur innerhalb einer angemessenen Frist erfolgen können.

Dieser Musterantrag sieht also eine Regelspeicherdauer für Verkehrsdaten von 6 Monaten vor. Telefonverbindungsdaten sollen nur für wenige Tage gespeichert werden und für IP-Adressen soll eine angemessene Speicherfrist gelten, wobei offen bleibt, was angemessen sein soll. Im Zweifel wird man auch 6 Monate als angemessen betrachten können.

Die Replik von Alvar Freude zeigt außerdem, dass in der Diksussion zwei Aspekte vermengt werden, die strikt zu trennen sind. Freude führt aus:

Zwar lehne ich persönlich eine Speicherung von Telefon-Verbindungsdaten (wer wann mit wem telefonierte) und E-Mail-Kommunikations-Daten (wer wann wem eine E-Mail geschrieben hat) ab, sehe aber durchaus, dass die Provider diese Daten zumindest wenige Tage für eigene Zwecke (z.B. Abrechnung, Störungsbekämpfung) speichern. Hier besteht derzeit keinerlei Hürde für die Ermittlungsbehörden, auf diese Daten zuzugreifen: ein Anruf beim Provider reicht. Ich halte eine Regelung für sinnvoll, die diese Zugriffe einschränkt, für eine revisionssichere Protokollierung sorgt, die Zugriffe unter Richtervorbehalt stellt und Informationspflichten für die Betroffenen einführt.

Hier wird die Frage der (datenschutzrechtlichen) Zulässigkeit einer Speicherung durch die Provider für eigene betriebliche Zwecke mit einer Speicherverpflichtung durch Einführung einer Vorratsdatenspeicherung vermengt bzw. verwechselt. Das eine hat mit dem anderen nichts zu tun.

Würde man im Wege einer Neuregelung der Vorratsdatenspeicherung z.B. eine nur noch kurzzeitige Speicherpflicht für bestimmte Verkehrsdaten einführen, so bedeutet dies nicht, dass der Provider nicht für eigene Zwecke länger speichern darf. Die Vorratsdatenspeicherung begründet eine staatliche Speicherpflicht, aber kein Verbot über diese Mindestspeicherfristen hinaus aus anderen Gründen länger zu speichern.

Vor diesem Hintergrund ist auch die immer wieder geäußerte Ansicht, man wolle ja nur zu einer Speicherdauer von 80 Tagen zurück, die es angeblich vor einigen Jahren schon gegeben haben soll, nichts weiter als eine politische Schimäre.

Diese Ansicht beruht auf der mittlerweile außer Kraft befindlichen Telekommunikationsdatenschutzverordnung, die bereits seit dem Jahr 2000 eine Höchstspeicherdauer von 6 Monaten und nicht mehr von 80 Tagen vorsah. Danach durften die Verbindungsdaten unter Kürzung der Zielnummer um die letzten drei Ziffern zu Beweiszwecken höchstens 6 Monate nach Versendung der Rechnung gespeichert werden. IP-Adressen hat dies aber ohnehin nicht betroffen.

Eine Regelung, wonach IP-Adressen generell 80 Tage lang gespeichert werden durften, hat es in Deutschland zu keiner Zeit gegeben. Die anderslautende Aussage Alvar Freudes gehört ins Reich der Mythen.

Das Landgericht Köln hat mit Urteil vom 31.08.2011 (Az.: 28 O 362/10) entschieden, dass ein Access-Provider nicht als Störer haftet und die Klage von führenden Tonträgerherstellern abgewiesen. Die Kläger waren der Ansicht, der Provider müsse dafür sorgen, dass seine Kunden keinen Zugang zu  bestimmten“Filesharing-Diensten“ erhalten, was im Ergebnis auf DNS- oder IP-Sperren hinausgelaufen wäre.

Eine solche Sperrverpflichtung hat das LG Köln abgelehnt. Die Errichtung von Filter- und Sperrmaßnahmen durch den Internetzugangsanbieter ist nach Meinung des LG Köln ohne gesetzliche Grundlage mit dem Fernmeldegeheimnis unvereinbar.

Aufgrund der Vielzahl von Rechtsverletzungen im Internet hätte die Etablierung einer entsprechenden Vorsorgepflicht nach Auffassung des LG Köln außerdem zur Folge, dass der Provider eine Vielzahl von technischen Sicherheitsvorkehrungen in Form von Datenfiltern einrichten müsste, die wiederum immer neuen Gegebenheiten und neuen Verletzungsformen angepasst werden müssten, was einem Access-Provider nicht zumutbar sei.

Das Gericht betont schließlich noch, dass die geforderten Sperren auch kein taugliches Mittel zur  Unterbindung weiterer Rechtsverletzungen darstellen. Die mangelnde Tauglichkeit des Mittels wird nach Ansicht des Landgerichts im konkreten Fall auch daran deutlich, dass die Klägerinnen den Klageantrag mehrfach ändern und auf immer neue URL erweitern mussten.

Wie der Fall zeigt, scheut die Musikindustrie auch nicht davor zurück, abwegige Rechtsansichten vor Gericht zu bringen, was hier allerdings noch nicht einmal beim Landgericht Köln zum Erfolg geführt hat.

Dass Ägypten nach wie vor eine Militärdiktatur ist, die die Meinungsfreiht brutal unterdrückt, zeigt der Fall des Bloggers Maikel Nabil Sanad, der wegen nichts weiter als einer kritischen Meinungsäußerung – die sich freilich gegen das neue Regime richtete – von einem Militärgericht im April 2011 zu drei Jahren Haft verurteilt wurde.

Sanad hat Ende August, aus Protest gegen seine Inhaftierung, einen Hungerstreik begonnen. Daraufhin wurde er in Einzelhaft genommen, sein Gesundheitszustand soll sich laut Amnesty International verschlechtert haben, wie es ihm derzeit geht, ist unklar. Verschiedene Menschen- und Bürgerrechtsorganisationen wie Amnesty International und Reporters Without Borders und fordern seine Freilassung.

Den Fall von Maikel Nabil Sanad, der die tatsächlichen Verhältnisse in Ägypten offenbart, schildert Alex Rühle in der heutigen Ausgabe der SZ.

Das Bloggen scheint nach der sog. Revolution in Ägypten und auch in anderen arabischen Staaten nicht ungefährlicher geworden zu sein, denn der Fall Sanad ist kein Einzelfall. Von einer Demokratisierung kann man angesichts derartiger Vorgänge wahrlich (noch) nicht sprechen.

Der Beck-Verlag bringt eine neue Zeitschrift zum Datenschutzrecht auf den Markt. Die Erstausgabe der Zeitschrift für Datenschutz (ZD) ist als Appetizer vollständig im Netz verfügbar. Darin beschäftigen sich u.a. Thomas Hören mit der datenschutzrechtlichen Zulässigkeit von Google Analytics und Antonie Knierim mit der Problematik der Kumulation der Vorratsspeicherung von TK- und Fluggastdaten.

In der zweiten Ausgabe der Zeitschrift wird übrigens ein Beitrag von mir zum Thema Ausschluss von Pseudonymen bei Google Plus und Facebook erscheinen.

Man kann sich natürlich die Frage stellen, ob eine weitere juristische Zeitschrift (zum Datenschutz) wirklich gebraucht wird.

Der Facebook-Button „Gefällt mir“ ist, sofern er extern eingebunden wird, seit kurzer Zeit der datenschutzrechtliche Aufreger.

Das hat der Heise-Verlag, wie ein paar andere auch, zum Anlass genommen, eine datenschutzfreundlichere Möglichkeit der Einbindung zu präsentieren. Während noch diskutiert wird, ob dem Heise-Verlag das tatsächlich gelungen ist, beschwert sich Facebook über so viel Datenschutzfreundlichkeit und macht einen Verstoß gegen Ziff. 8 seiner Nutzungsbedingungen geltend.

Facebook bringt also seine Nutzungsbedingungen in Stellung, um den eigenen Rechtsbruch aufrecht erhalten zu können. Darüber kann man schmunzeln. Man kann sich aber auch fragen, ob Heise Vertragspartner von Facebook ist, denn nur dann wäre der Verlag an die Nutzungsbedingungen gebunden. Aber selbst für diesen Fall bleibt die Frage offen, ob Facebook eine Einbindung des Like-Buttons in einer Art und Weise verlangen kann, durch die Facebook selbst gegen das Datenschutzrecht verstößt.

Facebook rudert dann aber doch wieder zurück, wie das letzte Update des Heise-Artikels belegt.

Gekaufte Rankings bei Hotelbuchungsportalen sind wettbewerbswidrig. Das hat das Landgericht Berlin im Rahmen einer einstweiligen Verfügung vom 25.08.2011 (Az.: 16 O 418/11) entschieden und dem Portal booking.com untersagt, Hotels unter der Rubrik „Beliebtheit“ in absteigender Reihenfolge zu platzieren, wenn für die teilnehmenden Hotels die Möglichkeit besteht, das Ranking durch eine höhere Provision an das Buchungsportal zu beeinflussen.

Für einen Kommentar bei Heise habe ich mir den Musterantrag von SPD-Netzpolitikern zur Vorratsdatenspeicherung, der bereits heftig und kontrovers diskutiert wird, nochmals etwas genauer angeschaut.

Update:
Die Unklarheiten und Ungereimtheiten des Musterantrags hat Yacine Ghoggal gut herausgearbeitet. Auch die politische Analyse von Malte Spitz ist lesenswert.