Internet-Law

Die sehr instruktiven Vorträge auf dem heutigen LawCamp zum Datenschutz haben mir erneut vor Augen geführt, woraus das fortwährende Spannungsverhältnis zwischen Internetkommunikation einerseits und dem geltenden Datenschutzrecht – nach Lesart der Datenschutzbehörden – resultiert.

Das heutige Datenschutzrecht fußt, trotz zahlreicher Änderungen, letztlich auf Vorstellungen aus den 70’er und 80’er Jahren, die von Großrechnern in Rechenzentren geprägt sind. Heute geht es allerdings um die zeitgemäße Nutzung des Internets, die u.a. durch Social Media, durch Affiliate-Programme und Cloud-Computing bestimmt wird. Darauf sind die Vorschriften des BDSG nicht ausgerichtet, weshalb sie auch keine Antworten auf die hieraus resultierenden Fragestellungen bieten. Würde man das geltende Datenschutzrecht tatsächlich eng und konsequent anwenden, dann müsste Deutschland offline gehen. Würde man das Massenhosting den Anforderungen der Auftragsdatenverarbeitung nach § 11 BDSG unterwerfen, wie einige Datenschutzbehörden meinen, und jede Datenübermittlung an die USA tendenziell als Rechtsverstoß betrachten, wie der Düsseldorfer Kreis meint, dann würde es in Deutschland keine Websites mehr geben und Google und Facebook wären nicht verfügbar.

Wenn die Vertreterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) Ninja Marnau auf die Frage, ob Sie denn eine datenschutzkonforme Lösung für das Cloud Computing darstellen könne, ernsthaft antwortet, man würde daran arbeiten, was allerdings noch ca. drei Jahre dauert, dann ist damit eigentlich alles gesagt. Die Datenschützer haben keine Antwort auf die Frage, wie man das Internet tatsächlich zeitgemäß und datenschutzkonform nutzen kann. Sie scheitern zudem an ihren eigenen hohen Maßstäben, was die Inkonsequenz ihrer eigenen Positionen unterstreicht.

Man wird früher oder später an einem Reality-Check nicht vorbeikommen. Wollen wir eine konsequente Beibehaltung des bisherigen Datenschutzrechts und -niveaus oder wollen wir das Internet zeitgemäß nutzen? Beides gleichzeitig ist nicht denkbar, was offenbar aber noch nicht alle verstanden haben. Die derzeitige Situation ist dadurch gekennzeichnet, dass das Datenschutzrecht nicht fit für das Internetzeitalter ist und viele real existierenden Dienste, die von Millionen Bürgern und Unternehmen genutzt werden, nicht datenschutzkonform sind. Jedenfalls nicht, wenn man das Verständnis der berufsmäßigen Datenschützer zugrunde legt.

Das führt zur Entstehung von Post-Privacy-Bewegungen, die weit über das Ziel hinaus schießen, aber letztlich zu Recht den derzeitigen Zustand beklagen. Wir können uns also weiterhin etwas vormachen oder endlich eine offene Bestandsaufnahme durchführen.

In der aktuellen Ausgabe der juristischen Fachzeitschrift Computer & Recht (CR 2011, 203) ist ein Aufsatz des Informatikers und öffentlich bestellten und vereidigten IT-Sachverständigen Holger Morgenstern mit dem Titel „Zuverlässigkeit von IP-Adressen-Ermittlungssoftware“ erschienen. Der Beitrag befasst sich mit der Frage, wie zuverlässig sog. Anti-Piracy-Software arbeitet bzw. welche technischen Anforderungen an solche Programme zu stellen sind, damit von einem „gerichtsfesten“ digitalen Nachweis gesprochen werden kann.

Der Autor erläutert zunächst allgemein, dass bei elektronischen Beweisen der sog. S-A-P Prozess (Sicherung, Analyse, Präsentation) zu beachten ist. Wichtig sei es insoweit vor allem, die Originaldaten möglichst vollständig und ohne jede Veränderung in einer forensischen Kopie zu speichern und damit jederzeit überprüfbar zu halten. Morgenstern ist der Ansicht, dass die (ihm) bisher bekannt gewordenen Gutachten zur Zuverlässigkeit entsprechender Programme diesen Anforderungen nicht genügen.

Schließlich setzt sich Morgenstern auch mit der sog. Hash-Wert-Methode kritisch auseinander und vertritt insoweit die Auffassung, dass ohne einen kompletten Download der betreffenden Datei nicht zuverlässig festgestellt werden kann, ob die mutmaßliche Datei tatsächlich dem Original entspricht. Der Autor verweist hierzu u.a. darauf, dass auch für aktuelle, verbesserte Hash-Wert-Verfahren zahlreiche praktisch relevante Kollisionen dokumentiert seien.

Der lesenswerte Aufsatz wird nunmehr sicherlich Eingang in anwaltliche Schriftsätze finden und künftig häufig zitiert werden.

Vor dem Hintergrund, dass das OLG Köln unlängst die Ansicht vertreten hat, der als Anschlussinhaber Ermittelte habe die Möglichkeit, die Korrektheit der Ermittlung mit Nichtwissen zu bestreiten, gewinnt der Aufsatz zusätzliche Bedeutung. Die Konsequenz wäre nämlich die, dass der Rechteinhaber die Zuverlässigkeit der von ihm eingesetzten Anti-Piracy-Software konkret darlegen und unter Beweis stellen muss und zwar anhand der Kriterien, die Holger Morgenstein in seinem Aufsatz skizziert. Die meisten Programme die derzeit in der Praxis im Einsatz sind, dürften diesen Anforderungen nicht genügen.

Die Zuverlässigkeit der Ermittlung des Anschlussinhabers sowie die Problematik der Abwehr unberechtigter Abmahnungen habe ich hier schon mehrfach thematisiert. Die meisten Gerichte unterstellen die Zuverlässigkeit der Ermittlung mehr oder minder unkritisch, weshalb es für Betroffene derzeit (noch) kaum möglich ist, sich gegen eine schon aus technischen Gründen unberechtigte Inanspruchnahme zur Wehr zu setzen. Gerichtliche Sachverständigengutachten zu dieser Frage sind mir bislang nicht bekannt, was nicht zuletzt daran liegt, dass die enormen Kosten eines solchen Gutachtens regelmäßig in keinem Verhältnis zur wirtschaftlichen Bedeutung der Streitigkeit stehen.