JurPC Web-Dok. 86/2021 - DOI 10.7328/jurpcb202136686

Wolfgang Kuntz [*]

Kuntz, Wolfgang

Haben möglicherweise Tausende von Abmahnungen in Filesharing-Verfahren die Falschen getroffen?

JurPC Web-Dok. 86/2021, Abs. 1 - 32


Abs. 1

Gliederung:

I. Einleitung
II. Rechtliche Implikationen
1. Auswirkungen im Bereich des TKG
2. Auswirkungen für Auskünfte nach § 101 UrhG
III. Konsequenzen
IV. Ausblick
Abs. 2

I. Einleitung

Technische (Weiter-) Entwicklungen haben mitunter erhebliche Auswirkungen auf die rechtliche Beurteilung von Sachverhalten. Im Bereich der Telekommunikation hat es in den letzten zehn Jahren eine Veränderung gegeben, die bislang hinsichtlich ihrer rechtlichen Auswirkungen noch nicht hinreichend beleuchtet worden ist.Abs. 3
Bedingt durch die Knappheit der IP-Adressen nach dem Standard IPv4 ist der Standard IPv6 entwickelt worden, dessen flächendeckende Umsetzung jedoch von den Telekommunikationsanbietern aus verschiedenen Gründen gegenwärtig nicht mit letzter Konsequenz verfolgt wird. Dies führte dazu, dass versucht wurde, die Folgen der knappen Ressource der IPv4 Adressen durch ein technisches Verfahren zu mildern, das mit dem Verfahren der Netzwerkadressübersetzung (Network Address Translation, NAT) arbeitet. Wird auf Betreiberebene ein NAT-Verfahren eingesetzt, spricht man von Carrier-Grade NAT (CGN). Auf diese Weise ist es möglich, mehrere (bis zu Tausende) IP-Adressen unter einer öffentlichen IP-Adresse zusammen zu fassen. In diesem Fall kann die Zuordnung zum einzelnen Anschluss nur über die Bestimmung des benutzten Ports erfolgen. [1] Abs. 4
Dieser Beitrag beschreibt die Grundproblematik in knapper Form. Ein Folgebeitrag wird die Sachlage vertieft aufgreifen.Abs. 5

II. Rechtliche Implikationen

1. Auswirkungen im Bereich des TKG

Abs. 6
Der Beauftragte der Bundesregierung hat in dem Verfahren 1 BvR 1873/13 vor dem Bundesverfassungsgericht im Rahmen seiner Stellungnahme zu dem Verfahren über die Funktionsweise des CGN Folgendes ausgeführt:Abs. 7
„Der Adressraum des überkommenen IPv4-Protokolls reicht nicht mehr aus, um netzfähigen Geräten eine eigene IP-Adresse im Internet zuzuweisen. Das IPv4-Protokoll soll deshalb durch das IPv6-Protokoll abgelöst werden, welches über einen hinreichend großen Adressraum verfügt, um auf absehbare Zeit alle netzfähigen Geräte mit einer eigenen IP-Adresse auszustatten. Eine harte Umstellung erfolgte jedoch nicht. Um während der Übergangsphase bis zu einer gänzlichen Umstellung auf IPv6 zusätzliche Geräte in den ausgeschöpften IPv4-Adressraum integrieren zu können, nutzen viele Internet-Service-Provider die sogenannte Carrier-Grade-NAT Technik (CGN). Diese Technik ermöglicht es mehrere hundert bis zu mehrere 1000 Nutzer über lediglich eine IPv4-Adresse mit dem Internet zu verbinden sowohl bei der stationären als auch bei der mobilen Internet-Nutzung. Allerdings hat sich die CGN-Technik mittlerweile für viele Provider von einer Zwischenlösung zu einem dauerhaften Ersatz für IPv6 entwickelt, da so die Nutzung von IPv4-Adressen unbegrenzt vervielfacht und die kostenintensive Umstellung der Technik auf IPv6 zeitlich erheblich herausgezögert werden kann. Aktuell führen zudem viele Provider mit dem sogenannten NAT64 eine weitere NAT-Technologie zum Übergang IPv4 / IPv6 ein, welche CGN ersetzt. Hierbei erhält der Nutzer nur noch ein IPv6-Präfix und der Provider führt zentral eine Adressumsetzung NAT bedarfsweise von IPv6 auf IPv4 für einzelne Dienste durch … . …Abs. 8
Zahlreiche Kunden nutzen eine einzige öffentliche IPv4-Adresse und unterscheiden sich damit nur durch die vom Internet Service Provider zugeteilt das sogenannte Source Port Number. Um einen Nutzer bei Einsatz der NAT Technik zweifelsfrei identifizieren zu können, müssen neben der IPv4-Adresse deshalb weitere Informationen wie die Source Port Number und der Zeitpunkt der Verbindung bekannt sein. Diese liegen den Ermittlungsbehörden häufig nicht vor beziehungsweise werden von den Providern nicht zuverlässig gespeichert. Eine Speicherverpflichtung gemäß § 113b TKG besteht insoweit nicht.[2]Abs. 9
Soweit darin anklingt, dass keine Speicherpflicht bezüglich der Portnummern besteht, aber wohl eine Möglichkeit zur Speicherung, ist zwischen technischer Möglichkeit und rechtlicher Zulässigkeit zu unterscheiden. Zum einen fehlt für die Speicherung der Portnummern eine gesetzliche Erlaubnisnorm nach Art. 6 der DSGVO. Zudem würde dadurch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO verletzt.Abs. 10
Ähnlich ist die Rechtslage in Österreich, wie das Bundeskriminalamt Österreichs im Cybercrime Report 2019 ausführte:Abs. 11
"Aufgrund der häufigen Nutzung der Carrier Grade NAT Technologie, bei denen mehreren Internetnutzerinnen und Internetnutzer zeitgleich idente IP-Adressen vom Netz Provider zugewiesen werden, können viele Straftaten nicht geklärt und auch die Verfasser von Hasspostings sowie Fakenews nicht ausgeforscht werden. Dies führt im Rahmen der Ermittlungen zu erheblichen Problemen bei der Zuordnung und Identifizierung krimineller Userinnen und User, wenn vom Netzanbieter die üblichen Protokollierungen von Userinnen und Usern beispielsweise auf Grund der fehlenden rechtlichen Rahmenbedingungen nicht gespeichert werden dürfen und daher nicht übermittelt werden können. Überdies gibt es international und auch auf europäischer Ebene selbst zwischen den einzelnen Mitgliedstaaten sehr große Unterschiede in deren rechtlichen Rahmenbedingungen zu dieser Thematik.Abs. 12
Das Beispiel eines aktuellen Ermittlungsfalles zeigt die negativen Folgen unzureichender Rechtsrahmen:Abs. 13
In Serbien wurde eine ermordete Frau aufgefunden, die nach Ermittlungen identifiziert werden konnte. Das Opfer war bereits sieben Tage tot, aber die Nachforschungen ergaben, dass zur Verschleierung auch nach ihrer Ermordung von ihrem Account auf sozialen Medien gepostet wurde. Diese Nachrichten werden dem mutmaßlichen Mörder zugeordnet, der mehrere österreichische IP-Adressen für diese Postings verwendet hatte. Der österreichische Kabelanbieter konnte aufgrund der Verwendung von Carrier Grade NAT mit dem österreichischen Rechtsrahmen keine Auskunft erteilen. Zum besseren Verständnis zur diesbezüglichen Thematik wird angeführt, dass die Speicherung über den Inhaber einer dynamischen IP-Adresse in Österreich nicht erlaubt ist, wenn die Zuordnung eine größere Zahl von Teilnehmern erfasst – was im Fall von Carrier Grade Nat immer zutrifft. Der Mord konnte bis dato nicht geklärt werden. Eine diesbezügliche Harmonisierung auf europäischer Ebene wäre insofern erstrebenswert."[3]Abs. 14
Die Bundesnetzagentur führt zum Thema Speicherung der IP-Adresse im Zusammenhang mit CGN auf ihrer Website aus, dass nach § 113b Abs. 3 Nr. 1 TKG die dem Teilnehmer für eine Internetnutzung zugewiesene IP-Adresse zu speichern ist. Hierunter sei ausschließlich die öffentliche IP-Adresse zu verstehen. Werde dem Endnutzer bzw. seinem Anschluss eine öffentliche IP-Adresse zur Internetnutzung direkt zugewiesen, sei diese IP-Adresse zu speichern. Bei Mehrfachnutzungen von öffentlichen IP-Adressen für mehrere Endnutzer (wie bei Einsatz von CGN) werde den einzelnen Endnutzern bzw. deren Anschlüssen zwar (auch) eine private (bzw. Providernetz-interne) IP-Adresse zugewiesen. Es bleibe jedoch auch bei Mehrfachnutzungen dabei, dass (nur) die öffentliche IP-Adresse nach § 113b Abs. 3 Nr. 1 TKG zu speichern sei und nicht (auch) eine private[4].Abs. 15
Dies führt dazu, dass Provider, die CGN einsetzen, eine eindeutige Auskunft über den Nutzer nur geben könnten, wenn zusätzlich auch die Portnummer des fraglichen Requests mit einbezogen werden dürfte. Zwar kann der Anfrager diese Portnummer mitliefern[5], der Provider kann aber damit nichts anfangen, da er die Portnummernzuweisungen nicht speichern darf[6].Abs. 16
Die Bundesnetzagentur hatte auf Anfrage Folgendes mitgeteilt:Abs. 17
„Dem FAQ zu § 113a Verkehrsdatenspeicherung ist in der Version vom 05.05.2017 zu entnehmen, dass sich die Speicherpflicht für Erbringer von Internetzugangsdiensten nach § 113b Abs. 3 Nr. 1 TKG - wonach die dem Teilnehmer für eine Internetnutzung zugewiesene IP-Adresse zu speichern ist - auch bei Mehrfachnutzungen lediglich auf die öffentliche IP-Adresse bezieht. An dieser Einordnung, zum nun neuen § 176 Abs. Nr. 1 TKG, hat sich durch die Novellierung des Telekommunikationsrechts durch das Telekommunikationsmodernisierungsgesetz (TKModG) nichts geändert.“Abs. 18
In der Bundestagsdrucksache zum „Entwurf eines Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ wird zu § 113b Abs. 3 TKG ausgeführt:Abs. 19
„Absatz 3 regelt die einzelnen Speicherpflichten für Erbringer öffentlich zugänglicher Internetzugängen. Eine Speicherung der im Internet aufgerufenen Adressen (so genannte URL (Uniform Resource Locator)) findet nicht statt. Es wird somit auch auf Grundlage der zu speichernden Internetdaten nicht das gesamte „Surfverhalten“ von Internetnutzern nachvollziehbar werden. Um - ebenso wie bei § 113b Absatz 2 Nummer 5 TKG-E - der Praxis die Rückverfolgung und Identifizierung der Quelle eines Kommunikationsvorgangs besser zu ermöglichen, ist nach § 113b Absatz 3 Nummer 2 neben der Kennung des Anschlusses, über den die Internetnutzung erfolgt, auch die zugewiesene Benutzerkennung zu speichern.[7]Abs. 20
Danach gibt es nach geltendem Recht keine Erweiterung auf die Portdaten. Die Portdaten sind keine Benutzerkennung im Sinne von § 113b Abs. 3 TKG.Abs. 21
Auch die MAC-Adresse eines Endgerätes kann nicht als zusätzliche Anschlusskennung gespeichert werden, da § 113b Abs. 3 Nr. 2 TKG nur "eine (nicht mehrere, wk) eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt“ fordert. Eine Benutzerkennung ist die MAC-Adresse darüber hinaus gleichfalls nicht[8].Abs. 22
Das Bundesverfassungsgericht hat in einer Entscheidung aus dem Jahr 2018 zumindest durchblicken lassen, dass die Anwendung der NAT-Technologie der Pflicht, die öffentlichen IP-Adressen bekanntzugeben, nicht entgegensteht[9].Abs. 23
Es ist damit als Zwischenergebnis festzuhalten, dass im Falle des Einsatzes von CGN derzeit lediglich die öffentliche IP-Adresse, nicht aber auch die private IP-Adresse des Nutzers ermittelt werden kann, die nur über die Portnummer des Nutzeranschlusses zugeordnet werden könnte.Abs. 24

2. Auswirkungen für Auskünfte nach § 101 UrhG

Im Rahmen der Provider-Auskunft nach § 101 UrhG dürfen folglich im Falle eines Einsatzes von CGN durch den Provider die Portnummern nach derzeitiger Rechtslage nicht mitgeteilt bzw. aufgeschlüsselt werden. Die Auskünfte nach § 101 UrhG differenzieren derzeit auch nicht hinsichtlich des Einsatzes oder Nicht-Einsatzes von CGN. Dies könnte bereits in der Vergangenheit dazu geführt haben, dass eine Zuordnung (nur) anhand der öffentlichen IP-Adressen erfolgt ist. Die Folge wären unvollständige und damit inhaltlich nicht korrekte Beauskunftungen gewesen. Das kann in der Vergangenheit dazu geführt haben, dass Filesharing-Verfahren rechtswidrig, da ohne tatsächliche Grundlage, angestrengt worden sind.Abs. 25

III. Konsequenzen

In der Entscheidung „Sommer unseres Lebens“ hat der BGH am 12.05.2010[10] erstmals Grundsätze für die Behandlung von Filesharing-Fällen aufgestellt und eine sog. „tatsächliche Vermutung“ etabliert.Abs. 26
Der BGH führte aus: „Wird ein geschütztes Werk der Öffentlichkeit von einer IP-Adresse aus zugänglich gemacht, die zum fraglichen Zeitpunkt einer bestimmten Person zugeteilt ist, so spricht zwar eine tatsächliche Vermutung dafür, dass diese Person für die Rechtsverletzung verantwortlich ist. Daraus ergibt sich eine sekundäre Darlegungslast des Anschlussinhabers, der geltend macht, eine andere Person habe die Rechtsverletzung begangen.Abs. 27
Diese tatsächliche Vermutung fußt auf der im Jahr 2010 richtigen Grundannahme, dass eine IP-Adresse nur einer bestimmten Person zugeordnet wurde. Kommt jedoch das erst nach 2010 entwickelte CGN-Verfahren zum Einsatz, ist – wie oben gezeigt – eine solche eindeutige Zuordnung nicht (mehr) möglich. Vor diesem Hintergrund fehlt die Basis für die vom BGH aufgestellte tatsächliche Vermutung.Abs. 28
Einer Befugnis der Provider, die Ports zu ermitteln und ggf. im Rahmen von § 101 UrhG zu beauskunften, stehen zum einen die Vorschriften der Art. 5 und Art. 6 Abs. 1 DSGVO entgegen, da es dafür keine Erlaubnisnorm gibt. Zum anderen stehen die Erwägungen aus der Entscheidung des Bundesverfassungsgerichts vom 27.05.2020, Az.: 1 BvR 1873/13[11], entgegen.Abs. 29
Sofern sich in Filesharing-Verfahren ein abgemahnter Nutzer darauf beruft, dass für seinen Anschluss das CGN-Verfahren zum Einsatz kam, stellt sich die Frage, wer diesen Umstand beweisen muss. Angesichts der Tatsache, dass für solche Fälle eine tatsächliche Vermutung im Sinne der bisherigen BGH-Rechtsprechung nicht eingreifen kann, hat der Nutzer lediglich eine einfache Darlegungslast. Der Rechteinhaber muss hingegen beweisen, dass CGN für den betreffenden Anschluss nicht zum Einsatz kam, da nur in diesem Fall die tatsächliche Vermutung wieder eingreifen könnte.Abs. 30

IV. Ausblick

Die „Sommer unseres Lebens“-Rechtsprechung des BGH ist im Falle des Einsatzes von CGN nicht mehr anwendbar. De lege lata fehlt es an einer Befugnis der Provider, die Portnummern zu speichern und mitzuteilen. Es stellt sich angesichts dieser Sachlage zum einen die Frage, ob das Problem angesichts der derzeitigen klaren Rechtslage durch eine Einwilligung im Vertragsverhältnis zwischen Provider und Kunde in der Form gelöst werden kann, dass der Kunde ausdrücklich in die Erhebung der Portdaten einwilligt. Eine solche Lösung stößt insbesondere auf Probleme hinsichtlich einer vor dem Hintergrund der Bundesverfassungsgerichts-Rechtsprechung verfassungsrechtlich tauglichen Rechtsgrundlage und im Bereich der Einwilligung selbst hinsichtlich der erforderlichen Freiwilligkeit.Abs. 31
Zum anderen stellt sich die Frage, ob de lege ferenda die Portdaten (und z.B. auch die MAC-Adresse) zusätzlich in den Katalog des § 113b Abs. 3 TKG aufgenommen werden sollten und rechtlich auch aufgenommen werden dürften.[12]Abs. 32

Fußnoten:

[*] Wolfgang Kuntz ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner in der Kanzlei Münster & Russo (www.muenster-russo.de) in Saarbrücken, Syndikusanwalt der Makrolog AG, Wiesbaden, und verantwortlicher Redakteur von JurPC. Die Idee zu diesem Beitrag entstand nach einem Hinweis meines Kollegen Manfred Bottler (Makrolog AG), der mich auf das bei TK-Anbietern zum Einsatz kommende CGN-Verfahren aufmerksam machte.
[1] Vgl. Art. „Carrier-grade NAT“ (de.wikipedia.org/wiki/Carrier-grade_NAT, Version vom 10.04.2021) zu dem Grundprinzip. Zu technischen Details s. Art. „Netzwerkadressübersetzung“ (de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung, Version vom 02.05.2021).
[2] Abrufbar unter bestandsdatenauskunft.de/wp-content/uploads/2019/04/bda-bund_breg_2019-12-19_anon.pdf; vgl. auch www.yarix.com/wp-content/uploads/2020/04/ENISA-Report-Roadmap-on-CSIRT-LE-Cooperation-December-2019-2-1.pdf,
sowie European Commission, Study on the retention of electronic communications non-content data for law enforcement purposes - Final report, September 2020;
Europol fordert vor diesem Hintergrund die Abschaffung von CGN, vgl. www.europol.europa.eu/newsroom/news/are-you-sharing-same-ip-address-criminal-law-enforcement-call-for-end-of-carrier-grade-nat-cgn-to-increase-accountability-online
[3] Bundeskriminalamt Österreich, Cybercrime Report 2019, Lagebericht über die Entwicklung von Cybercrime S. 10/11 (bundeskriminalamt.at/306/files/Cybercrime_2019.pdf).
[4] www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/Umsetzung110TKG/VDS_113aTKG/VDS-node.html.
[5] Dies ist in den Aufzeichnungen und Listen der von den Filesharing-Abmahnern eingesetzten privaten Ermittlungsfirmen der Fall.
[6] So auch: heise.de/forum/heise-online/News-Kommentare/Europol-fordert-umfangreiche-Vorratsdatenspeicherung-2-0/Speicherung-von-Portnummern-in-de-zwischenzeitlich-geklaert-Antwort-nein/posting-29880107/show/ sowie die Bundesnetzagentur (www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/Umsetzung110TKG/VDS_113aTKG/VDS-node.html)
[7] BT-Drucksache 18/5088, S. 39 (dip21.bundestag.de/dip21/btd/18/050/1805088.pdf).
[8] www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/Umsetzung110TKG/VDS_113aTKG/VDS-node.html.
[9] BVerfG, Beschluss vom 20.12.2018, 2 BvR 2377/16 (www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2018/12/rk20181220_2bvr237716.html).
[10] BGH, Urteil vom 12.05.2010, I ZR 121/08 (www.jurpc.de/jurpc/show?id=20100114).
[11] www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2020/05/rs20200527_1bvr187313.html;jsessionid=103B6ABFFF4495B6D54FBB833E516909.2_cid377.
[12] Die hier aufgeworfenen Fragen waren – soweit ersichtlich – noch nicht Gegenstand einer juristischen Erörterung. Um Meinungsäußerungen und Stellungnahmen zur weiteren Vertiefung des Themas wird gebeten an die Redaktion von JurPC unter mail@jurpc.de.

[online seit: 08.06.2021]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
Zitiervorschlag: Kuntz, Wolfgang, Haben möglicherweise Tausende von Abmahnungen in Filesharing-Verfahren die Falschen getroffen? - JurPC-Web-Dok. 0086/2021