Internet-Law

Die EU-Kommission will ein einheitliches europäisches Kaufrecht schaffen, das allerdings nur dann gelten soll, wenn sich beide Vertragsparteien ausdrücklich und einvernehmlich darauf verständigen.

Dieses Kaufrecht soll grenzüberschreitend anwendbar sein und zwar auf Kaufverträge und auf Verträge über die Bereitstellung digitaler Inhalte wie Musik, Filme, Software oder Smartphone-Anwendungen.

Das EU-Parlament hat seine Zustimmung zu dem Projekt bereits signalisiert.

Der Rat der Europäischen Union hat heute eine neue Verbraucherschutzrichtlinie, die zuvor bereits vom Europaparlament beschlossen wurde, angenommen.

Die Verbraucherrechterichtlinie (VRRL) soll eine Vollharmonisierung der Informationspflichten und des Widerrufsrecht im Fernabsatz bewirken. Der Bundestag muss diese Richtlinie jetzt wiederum in deutsches Recht umsetzen, was wohl im Laufe der nächsten zwei Jahre passieren wird.

Auch wenn diese Richtlinie zu einer für Shopbetreiber sinnvollen Vereinheitlichung führen wird, bedeutet dies andererseits, dass man sich im E-Commerce schon wieder auf modifizierte Informationspflichten einstellen muss, nachdem der deutsche Gesetzgeber ohnehin bereits mehrfach und auch erst kürzlich Änderungen vorgenommen hat. Eine neue Musterwiderrufsbelehrung wird es dann wohl auch wieder geben.

Die wesentlichen Aspekte der Richtlinie hat der Kollege Dr. Föhlisch im Shop-Betreiber-Blog erläutert.

Immer mehr Bundesländer räumen ein, den Behördentrojaner einzusetzen. Der niedersächsische Innenminister Schünemann betont laut NDR, der Einsatz erfolge „nur, soweit es die gesetzlichen Vorgaben erlauben“. Sein bayerischer Amtskollege Herrmann behauptet, dass man den Trojaner lediglich für die Quellen-TKÜ und ausschließlich im Rahmen der Vorgaben des BVerfG einsetze.

Die Aussage Herrmanns ist allein deshalb falsch, weil ein rechtswidriger Einsatz des Bayerntrojaners bereits gerichtlich festgestellt worden ist.

Für den Einsatz eines Trojaners mit einer Funktionalität wie sie der CCC beschrieben hat, besteht zumindest im Bereich der Strafprozessordnung keinerlei Rechtsgrundlage. Eine Onlinedurchsuchung ist in der StPO nicht vorgesehen. Nach den Vorgaben des BVerfG wäre eine solche Maßnahme auch nur dann zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Das sind Leib, Leben und Freiheit einer Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Die bayerische Staatsregierung hatte aber bereits eingeräumt, dass mithilfe des Bayerntrojaners Straftaten wie banden- und gewerbsmäßiger Betrug oder Handel mit Betäubungs- und Arzneimitteln aufgeklärt werden sollen. Damit steht aber auch der Rechtsverstoß des LKA fest, denn in diesen Fällen sind die erheblichen Einschränkung des BVerfG missachtet worden.

Auch der Hinweis auf die ohnehin äußerst umstrittene Quellen-TKÜ verfängt übrigens nicht. Denn die heimliche Installation eine Software, die Browser-Screenshots machen und andere Daten des Nutzers erfassen und übermitteln kann, infiltriert ein informationstechnisches System.

Die Innenminister Herrmann und Schünemann, die diese Praxis sehenden Auges rechtfertigen, haben den Boden unseres Grundgesetzes verlassen.

Die Gerichte müssen sich gut überlegen, ob sie künftig Anträgen auf Anordnung einer sog. Quellen-TKÜ überhaupt noch stattgeben können, denn diese gehen augenscheinlich regelmäßig mit einer unzulässigen Onlinedurchsuchung Hand in Hand.

Eine Erläuterung der Rechtslage bietet der Richter am Landgericht Ulf Buermeyer  in einem Interview mit rechtspolitik.org. Lesen!

Während sich eine ganze Reihe von Politikern angesichts der Enthüllungen des Chaos Computer Clubs (CCC) beunruhigt zeigen – natürlich hat wieder einmal niemand etwas gewusst – fordert der innenpolitische Hardliner der CDU Wolfgang Bosbach Beweise vom CCC. Warum er das tut, bleibt aber unklar, weil Bosbach sogleich ergänzt, dass er auf heimlich installierte Computerprogramme nicht generell verzichten will.

Das Bundesverfassungsgericht hat hierzu entschieden, dass die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig ist, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Vor diesem Hintergrund ist für heimlich installierte Software verfassungsmäßig wenig Raum, Trojaner wie sie der CCC vorgefunden hat, können verfassungskonform überhaupt nicht eingesetzt werden.

Dass die Rechtspraxis ganz anders aussieht, beweist der Einsatz des Bayerntrojaners durch das bayerische LKA. Man muss jetzt nur eins und eins zusammenzählen, um zu erkennen, dass dies einer der Fälle ist, die der CCC untersucht hat.

In solchen Fällen werden übrigens auch die Gerichte belogen, bei denen die zuständige Staatsanwaltschaft die notwendige richterliche Anordnung einholt. Weil es für eine Onlinedurchsuchung keine rechtliche Grundlage gibt, wird eine „Quellen-TKÜ“ nach § 100a StPO beantragt, um die Telefonie mittels Skype zu überwachen. Dass anschließend allerdings ein Trojaner installiert wird, der noch weit mehr macht, muss den Gerichten natürlich verschwiegen werden. Damit wird allerdings der Richtervorbehalt, dessen Effizienz ohnehin stark überschätzt wird, vollkommen ad absurdum geführt.

Vielleicht findet ja jetzt eine parlamentarische Aufarbeitung in den Landtagen und im Bundestag statt. Das wäre in Bayern freilich nach dem Bekanntwerden des Einsatzes des Bayerntrojaners ohnehin nötig gewesen, zumal das bayerische Justizministerium längst eingeräumt hatte, dass der Trojaner mindestens in fünf Fällen zum Einsatz gekommen ist. Die bayerische Staatsregierung scheint mit diesem evident rechtswidrigen Vorgehen des LKA und der Staatsanwaltschaften offenbar aber keine Probleme zu haben.

Update:
Es ist jetzt auch bekannt, dass zumindest einer der Fälle des CCC in Bayern spielt und der Trojaner vom bayerischen LKA im Rahmen eines Ermittlungsverfahrens eingesetzt worden ist. (via vieuxrenard)

Dem Chaos Computer Club (CCC) wurde der Quellcode (Korrektur: es lagen wohl nur die Binärdateien vor) des sog. Behördentrojaners zugespielt, den man aus der öffentlichen Diskussion als Bundestrojaner und aus der Strafrechtspraxis auch als Bayern-Trojaner kennt.

Die Analyse des CCC ist ebenso erschreckend wie vorhersehbar. Das Tool ermöglicht eine umfassende Onlinedurchsuchung, die weit über das hinausgeht, was bislang offiziell bekannt war.

Man wusste bereits aus einer Entscheidung des Landgerichts Landshut, dass das bayerische LKA das Programm einem Verdächtigen während der Sicherheitsüberprüfung am Münchener Flughafen auf sein Notebook gespielt hatte und, dass das Tool immer dann, wenn der Verdächtige mit seinem Browser online war, alle 30 Sekunden einen Screenshot angefertigt hat, der dann an das LKA geschickt wurde. Im konkreten Fall waren es über 60.000 Screenshots, die das bayerische Landeskriminalamt auf diese Weise erlangt hat.

Die Analyse des CCC zeigt nun, dass die Software neben der Überwachung der Skype-Telefonie und der Aufzeichnung und Weiterleitung von Browser-Screenshots noch eine Reihe weiterer Überwachungsfeatures enthält. In der Pressemitteilung des CCC heißt es hierzu:

So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.

Zusätzlich bedenklich ist es, dass der Staatstrojaner die ausgespähten Daten zunächst an einen Server eines kommerziellen Providers in Ohio (USA) übermittelt. Offenbar ist den deutschen Behörden die Rechtswidrigkeit ihres Tuns bewusst, weshalb man es vermeidet, den Datenaustausch über einen deutschen, evtl. sogar behördlichen Server abzuwickeln.

Wenn man immer wieder hört – z.B. vom BKA – dass dieser Behördentrojaner nicht zum Einsatz kommt, sollte man dem keinen Glauben schenken. Die Strafverfolgung ist in Deutschland Ländersache, weshalb auf das BKA vermutlich tatsächlich die niedrigste Anzahl von Einsätzen entfallen dürfte. Demgegenüber scheinen die Landeskriminalämter und damit auch die Staatsanwaltschaften durchaus regelmäßigen Gebrauch von diesem Programm zu machen. In Bayern hat die Staatsregierung eingeräumt, dass der Trojaner in fünf Fällen zu Zwecken der Strafverfolgung eingesetzt worden ist. Man darf annehmen, dass die Situation in anderen Bundesländern ähnlich ist.

Die rechtliche Bewertung ist übrigens sehr eindeutig. Für eine (heimliche) Onlinedurchsuchung existiert in Deutschland derzeit überhaupt keine Rechtsgrundlage – und es wäre auch fraglich ob eine solche verfassungskonform ausgestaltet werden könnte – weshalb der Einsatz des Behördentrojaners evident rechtswidrig ist.

Lediglich im Bereich der Überwachung der IP-Telefonie sind einige Gerichte der Ansicht, dass sich eine sog. Quellen-TKÜ auf § 100a StPO stützen lässt. Aber auch insoweit ist in der juristischen Literatur überzeugend dargelegt worden – vgl. z.B. Albrecht und Buermeyer/ Bäcker – dass § 100a StPO keine tragfähige Grundlage für eine derartige Maßnahme bietet und auch die Quellen-TKÜ nach geltendem Recht rechtswidrig ist.

Aber selbst wenn man das anders sieht, ist der Einsatz des Tools, das der CCC analysiert hat, für Zwecke der Überwachung von Voice-Over-IP rechtswidrig, denn das Programm ist ja nicht auf derartige Maßnahmen beschränkt, sondern ermöglicht vielmehr eine umfassende und weitreichende Überwachung, für die unstreitig noch nicht einmal eine formelle Rechtsgrundlage besteht.

Die Analyse des CCC zeigt, dass sich die Polizeibehörden und Staatsanwaltschaften gerade im Bereich der Telekommunikationsüberwachung wenig darum schweren, ob ihre Maßnahmen rechtswidrig sind oder nicht und vielmehr die Neigung besteht, alles zu praktizieren, was technisch möglich ist.

Besonders bedenklich ist aber auch die Erkenntnis des CCC, dass das Programm keineswegs von fähigen Experten programmiert worden ist und deshalb Fehler und Sicherheitslücken enthält, die es ermöglichen, dass ein beliebiger Dritter die Kontrolle über einen von deutschen Behörden infiltrierten Computer übernehmen kann.

Die ausführliche Analyse des CCC war eines der meistdiskutierten Themen im Netz in den letzten 24 Stunden und zahlreiche Medien, u.a. die FAS in einem Leitartikel von Frank Schirrmacher, haben sich des Themas angenommen.

Und weil ich auf tagesschau.de folgendes lese,

Doch es ist unklar, ob tatsächlich deutsche Ermittlungsbehörden oder Nachrichtendienste – oder überhaupt staatliche Stellen – hinter dem Programm stecken.

noch eine ergänzende Anmerkung zur Seriosität der Enthüllung des CCC. Es sollte gerade Journalisten klar sein, dass der CCC schlecht mitteilen kann, aus welchem Verfahren die Software stammt, die dem CCC zugespielt worden ist, weil man sonst den Informanten ans Messer liefern würde. Man darf allerdings getrost annehmen, dass die Information nicht aus obskuren Quellen stammt, sondern aus einem polizeilichen Verfahren.

Beim Bundesgerichtshof tobt derzeit ein Streit zwischen dem Gerichtspräsidenten Klaus Tolksdorf und dem Bundesrichter Thomas Fischer, dem Autor des führenden Kommentars zum StGB, um die Besetzung des Vorsitzes des 2. Strafsenats. Auf Vorschlag Tolksdorfs soll dieser Posten nämlich mit dem Bundesrichter Rolf Raum besetzt werden und nicht mit Fischer, der zunächst als Favorit galt. Hiergegen wehrt sich Fischer mittlerweile vor dem Verwaltungsgericht Karlsruhe.

Die ZEIT (Print) hat dieser Personalie in ihrer aktuellen Ausgabe (Nr. 41 vom 06.10.2011, S. 17) ein Dossier gewidmet, das versucht, den Fall aufzuarbeiten. Die Gerichtsreporterin der ZEIT Sabine Rückert, der man die Sympathie für Fischer anmerkt, hält diese Entscheidung nicht für nachvollziehbar, zumal Fischer offenbar zunächst zwei äußerst positive dienstliche Bewertungen von Tolksdorf erhalten hat, während die dritte dann eher negativ ausfiel.

Rückert skizziert Fischer als unbequemen Richter, der sich auch gerne deutlich zu rechtspolitischen Fragestellungen äußert und u.a. als erklärter Gegner und Kritiker des mittlerweile gesetzlich geregelten „Deals“ im Strafverfahren gilt. Dies könnte auch der Grund für die Nichtberücksichtigung Fischers sein.

Ob es nur die fehlende Zurückhaltung Fischers ist oder ob vielleicht auch persönliche Animositäten eine Rolle spielen oder gar politische Gründe – Fischer wurde beispielsweise vom CDU-Abgeordneten Volker Kauder wegen eines Auftritts im Rechtsausschuss des Bundestags gerügt – deutet der Artikel von Rückert zwar an. Letztlich bleibt dies aber Spekulation.

Der Blick auf das Besetzungskarussell eines Bundesgerichts ist in jedem Falle lesenwert. Zumal man schon immer vermuten durfte, dass auch dort nicht nur sachliche Kriterien eine Rolle spielen.

Ein neues Urteil des Landgerichts Stuttgart zu § 52a UrhG hat Prof. Rainer Kuhlen dazu veranlasst, zu zivilem Ungehorsam aufzurufen.

Was war geschehen? Das Landgericht Stuttgart (Urteil vom 27.09.2011, Az.: 17 O 671/10) hat die Fernuniversität Hagen zur Unterlassung verurteilt, u.a. weil man Studierenden im Rahmen einer geschlossenen Benutzergruppe Auszüge aus einem Lehrbuch als PDF-Datei zur Verfügung gestellt hat.

Dies kann zwar urheberrechtlich grundsätzlich nach § 52a Abs. 1 Nr. 1 UrhG zulässig sein – was auch das LG Stuttgart konzidiert – aber nach Ansicht des Gerichts nicht in Form einer PDF-Datei, die die Studenten zudem auf ihrem Rechner speichern können. Denn der Gesetzgeber, so das Landgericht, wollte mit § 52a UrhG nur eine Nutzung ermöglichen, die der analogen Nutzung vergleichbar ist. Die Speicherung auf den Computern der Studenten stellt aber eine qualitativ höherwertige Form der Vervielfältigung als die analoge Nutzung dar, weil das abgespeicherte Werk sogleich in die Textverabeitung übernommen werden kann. Man hätte deshalb ein anderes Dateiformat wählen müssen.

Diese Urteilsbegründung ist m.E. falsch und auch gänzlich praxisfern, weil sie weder vom Wortlaut noch von der ratio der Vorschrift gedeckt ist. Man stellt sich hier unweigerlich auch die Frage, welche Form der Nutzung denn der analogen Nutzung entsprechen würde. Die PDF-Datei ist eine derjenigen Umsetzungen, die einer analogen Kopie noch am ehesten entsprechen. Dass man Dateien grundsätzlich speichern kann, liegt in der Natur der Sache. Die Fernuni Hagen hat mittlerweile offenbar von PDF-Dateien auf Flash-Lösungen umgestellt.

Unabhängig davon, ob das Landgericht Stuttgart das geltende Recht zutreffend anwendet oder nicht, zeigt der Fall aber auch, dass es der Gesetzgeber bislang verabsäumt hat, im Interesse der Allgemeinheit ein bildungsfreundliches Urheberrecht zu schaffen.

Vielmehr wird das Urheberrecht laufend zu Gunsten der Rechteinhaber (Verlage, Plattenfirmen, Filmverleihgesellschaften)  verschärft. Die Lobbyismusmaschinerie der Rechteinhaber hat die Politik in Berlin und Brüssel fest im Griff. Und dies geht zu Lasten des Gemeinwohls. Speziell eine Regelung wie § 52a UrhG – die in dieser Form erst 2003 in das Urheberrechtsgesetz eingefügt wurde – die eine gesetzliche Beschränkung der Rechte des Urhebers zugunsten von Unterricht und Forschung vorsieht, springt noch deutlich zu kurz.

An dieser Stelle ist leider nicht wirklich eine Besserung in Sicht, solange die Bürger nicht auf die Barrikaden gehen. Und deshalb ist die Aufregung Kuhlens sehr gut nachvollziehbar. Derartigen gesetzgeberischen Kleinmut kann sich eine Wissens- und Informationsgesellschaft auf Dauer nicht leisten.

Der Weiterverkauf von Windows-Recovery-CDs, bei denen zusätzlich das am PC-Gehäuse angebrachte Echtheitszertifikat abgelöst und der weiterveräußerten CD beigelegt wird, verstößt gegen die Markenrechte von Microsoft.

Das hat der BGH heute entschieden (Urteil vom 6. Oktober 2011 – I ZR 6/10 – Echtheitszertifikat).

Quelle: PM Nr. 157/11 des BGH vom 06.10.2011

Der BGH hat entschieden, dass auch die Presse Anspruch auf Einsicht in das Grundbuch zu Recherchezwecken haben kann. Hintergrund war die Recherche eines Nachrichtenmagazins über Grundstücksgeschäfte eines Politikerehepaars, wobei das Magazin den Verdacht hatte, den Eheleuten seien für den Erwerb des Grundstücks finanzielle Vergünstigungen durch einen bekannten Unternehmer gewährt worden.

In dem Beschluss vom 17.08.2011 (Az.: V ZB 47/11) führt der BGH u.a. aus:

Das Interesse der Presse an der Kenntnisnahme des Grundbuchinhalts erweist sich als gegenüber dem Persönlichkeitsrecht der Eingetragenen vorrangig, wenn es sich um eine Frage handelt, die die Öffentlichkeit wesentlich angeht – was  vorliegend mit Blick auf die herausgehobene politische Stellung eines der Eigentümer der Fall ist – und wenn die Recherche der Aufbereitung einer ernsthaften und sachbezogenen Auseinandersetzung dient.

Das ist im Grundsatz nicht neu. Der BGH hat allerdings ergänzend ausgeführt, dass das berechtigte Informationsanliegen zusätzlich zur Folge hat, dass der gesamte Inhalt des Grundbuchs zugänglich zu machen ist und nicht auf einzelne Abteilungen des Grundbuchs beschränkt werden kann.

Das Grundbuchamt darf nach Auffassung des BGH lediglich prüfen, ob das Rechercheinteresse in einem konkreten Bezug zu dem betreffenden Grundstück steht. Eine eigene Bewertung, welcher Erkenntniswert den einzelnen Eintragungen zukommt, ist dem Grundbuchamt demgegenüber verwehrt.

Die Verbraucherzentrale Bundesverband (vzbv) hat vor einigen Tagen eine Onlinepetition zum Petitionsausschuss des Bundestages gestartet, mit der folgende Forderung erhoben wird:

„Der Deutsche Bundestag möge in den Datenschutzgesetzen regeln, dass die Grundeinstellungen von Produkten und Diensten so zu gestalten sind, dass so wenig personenbezogene Daten wie möglich erhoben oder verarbeitet werden.“

Interessant daran finde ich zunächst, dass auch Organisationen wie die vzbv das Mittel der Onlinepetition für sich entdeckt haben. Obwohl dieses Instrumentarium kaum geeignet ist, auf legislativer Ebene etwas zu bewegen, wird sein Einsatz immer beliebter. Letztlich geht es aber wie bei anderen Onlinepetitionen nur darum, Aufmerksamkeit zu erzeugen und Berichterstattung zu erreichen, denn der Petitionsausschuss als solcher kann und wird nichts bewirken.

Auch wenn die Forderung der vzbv nach „Privacy By Default“ auf den ersten Blick vernünftig klingt, muss man sie aus zwei Gründen für problematisch halten.

Die Formulierung ist zunächst in dieser Form deutlich zu unbestimmt. Was sind Produkte und Dienste? Zu den Diensten im Sinne des TMG und des RStV zählen alle möglichen Internetangebote von der normalen Website, über den Onlineshop bis hin zum Blog. Nachdem zusätzlich von Produkten die Rede ist, soll der Anwendungsbereich wohl noch darüber hinaus gehen. Dass damit also spezifisch soziale Medien wie Facebook angesprochen würden, ist nicht ersichtlich.

Wenn wir allerdings  tatsächlich speziell von Facebook und Co. reden, muss man sich außerdem darüber im Klaren sein, dass die Grundeinstellungen von Facebook, deren Datenschutzbestimmungen sowie die Praxis Facebooks, Daten nicht ohne weiteres mehr löschen zu können, ohnehin nicht mit dem geltenden Datenschutzrecht vereinbar ist. Der Grund dafür, dass sich bislang nichts geändert hat, resultiert aus einem Vollzusgdefizit des deutschen und europäischen Datenschutzrechts.

Wieso sollte man also annehmen, dass neue gesetzliche Regelungen alleine dazu führen werden, dass sich Facebook gesetzeskonform verhalten wird, wenn dies bislang auch nicht der Fall war? Am grundlegenden Problem der fehlenden Durchsetzung des Datenschutzrechts ändert sich durch zusätzliche gesetzliche Vorgaben jedenfalls nichts.

Kritisiert wird der Verstoß der vzbv übrigens auch vom Branchenverband BITKOM. Ob dessen Einwände stichhaltig sind, kann jeder selbst beurteilen.

Das Grundproblem von kostenlosen sozialen Medien wie Facebook oder Google+ besteht darin, dass der Anbieter seine Einnahmen mit den Daten der Nutzer erzielt. Dafür muss er Nutzer- bzw. Bewegungsprofile erstellen, die es ihm ermöglichen, gezielt zu werben oder gar Daten an Drittfirmen zu verkaufen. Letzteres wird offiziell freilich stets bestritten. Die Verkehrsdaten der Nutzer sind letztlich zentraler Bestandteil des Geschäftsmodells von Facebook und Google+.

Vor diesem wirtschaftlichen Hintergrund wird es auch in Zukunft schwierig sein, von Wirtschaftsunternehmen zu erwarten, dass sie eine kostenlose Dienstleistung erbringen und gleichzeitig auf jede Form des Trackings verzichten. Die Alternativen sind entweder bezahlte Mitgliedschaften, für die es keine ausreichende Nutzerakzeptanz gibt, oder altruistisch geführte Social-Media-Plattformen.

Solange die Anbieter aber Facebook oder Google heißen und wir uns als Nutzer auf deren Plattformen bewegen wollen, wird sich im Ergebnis wenig ändern. Facebook und Google werden immer versuchen, mit den Behörden zu kooperieren bzw. diesen Anschein erwecken. Alles was sie anzubieten haben, sind aber Scheinlösungen, weil sie andernfalls ihr Geschäftsmodell preisgeben müssten.