Bearbeitung von Personendaten im Rahmen der Bekämpfung von Urheberrechtsverletzungen in P2P-Netzwerken

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern Tel. 031 323 74 84, Fax 031 325 99 96 www.edoeb.admin.ch

Bern, den 09. Januar 2008

EMPFEHLUNG

gemäss

Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG),

betreffend

die Bearbeitung und Weitergabe von elektronischen Datenspuren durch die Firma X im Auftrag von Urheberrechtsinhabern

I.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:

1. Die Firma X hat insbesondere in einer Besprechung und in einer Vorführung ihre Datenbearbei- tung vorgestellt sowie in zwei Stellungnahmen den Eidgenössischen Datenschutz und Öffentlich- keitsbeauftragten (EDÖB) darüber informiert, dass sie im Auftragsverhältnis mit elektronischen Hilfsmitteln in der Schweiz Übermittlungsdaten (darunter Datum, IP-Adresse, Benutzername, etc.) von urheberrechtlich geschützten Werken aufzeichnet, welche auf peer-to-peer Netzwerken zum herunterladen (Download) angeboten werden (Aufzeichnungstätigkeit). Zudem gibt die Firma X diese aufgezeichneten Übermittlungsdaten im Anschluss an ihre Auftraggeber ins Ausland weiter.

2. Aufgrund der mit dem EDÖB abgehaltenen Sitzung und den beiden eingereichten Stellungnah- men kann die Aufzeichnungstätigkeit der Firma X wie folgt beschrieben werden:

− Mittels der von ihr entwickelten Software (mit dem Namen „File Sharing Monitor“ in der Versi- on 1.8.1) sucht die Firma X automatisiert in verschiedenen peer-to-peer Netzwerken anhand eines speziell berechneten elektronischen Fingerabdrucks nach angebotenen (Upload) urhe- berrechtlich geschützten Werken, für welche sie von dem jeweiligen Urheberrechtsinhaber (o- der deren Rechtsvertreter) einen Nachforschungsauftrag erhalten hat.

− Sobald der von der Firma X entwickelte „File Sharing Monitor“ anhand des elektronischen Fin- gerabdrucks ein urheberrechtlich geschütztes Werk findet, für welches die Firma X einen Nachforschungsauftrag hat, versucht dieser zu der Software des Anbieters des urheberrecht- lich geschützten Werkes eine Verbindung aufzubauen, um das Werk herunterzuladen (Down- load).

2/12

− Kann eine Verbindung zur Software des Anbieters des urheberrechtlich geschützten Werkes aufgebaut werden, so lädt der „File Sharing Monitor“ dieses Werk automatisch ganz oder in Teilen herunter (Download) und zeichnet währenddessen einen Teil der zur Herstellung und Aufrechterhaltung der Internetverbindung zur Software des Anbieters ausgetauschten elektro- nischen Daten sowie weitere Daten (wie Uhrzeit und Datum) auf und speichert diese in einer Datenbank ab.

− Im Anschluss daran übermittelt die Firma X die entsprechend aufgezeichneten und abgespei- cherten Daten periodisch an den jeweiligen Urheberrechtsinhaber bzw. deren Rechtsvertreter.

3. Die von den Anbietern des jeweiligen urheberrechtlich geschützten Werkes übermittelten Verbin- dungsdaten sind zum Austausch des Werkes notwendig und werden von der von ihm verwende- ten (Standard-)Software automatisch und ohne sein zutun übermittelt, da ansonsten technisch kein Datenaustausch stattfinden kann. Der Anbieter von urheberrechtlich geschützten Werken wird von der Firma X nicht darüber informiert, dass die von ihm übermittelten Verbindungsdaten aufgezeichnet und gespeichert werden.

4. Die von der Firma X aufgezeichneten Verbindungsdaten umfassen:

− den Benutzernamen des Nutzers des peer-to-peer Netzwerkes

− die IP-Adresse des verwendeten Internetanschlusses

− die GUID (spezielle Identifikationsnummer der vom Anbieter des urheberrechtlich geschützten Werkes verwendeten Software)

− das verwendete peer-to-peer Netzwerkprotokoll (Gnutella, eDonkey oder BitTorrent)

− den Namen und elektronischen Fingerabdruck (Hashcode) des urheberrechtlich geschützten Werkes

− das Datum und die Uhrzeit sowie den Zeitraum der Verbindung zwischen der Software der Firma X und der Software des Anbieters des jeweiligen urheberrechtlich geschützten Werkes.

Diese Daten werden sodann auf den Servern der Firma X in Steinhausen (ZG) gespeichert und nach Ländern und Anbietern von Internetanschlüssen sortiert. Die so erhobenen Daten werden anschliessend an die Urheberrechtsinhaber bzw. deren Rechtsvertreter ins Ausland weitergege- ben und zur Identifikation des Inhabers des Internetanschlusses verwendet.

5. Zur Identifikation des Inhabers des Internetanschlusses reichen die Urheberrechtsinhaber bzw. ihre Rechtsvertreter bei den zuständigen Untersuchungsbehörden Strafklage gegen Unbekannt ein. Nachdem die zuständige Untersuchungsbehörde den Inhaber des Internetanschlusses identi- fiziert hat, verschaffen sich die Urheberrechtsinhaber bzw. deren Rechtsvertreter diese Identitäts- daten im Rahmen einer Akteneinsicht. Diese Daten werden dann in Abmahnverfahren verwendet, um gegenüber den betroffenen Personen Schadensersatzforderungen geltend zu machen und ei- ne Unterlassungserklärung anzustreben. Tritt die betroffene Person nicht auf diese Forderungen ein, stellen die Inhaber der Urheberrechte bzw. deren Rechtsvertreter eine zivilrechtliche Durch- setzung ihrer Schadensersatzforderungen in Aussicht.

3/12

II.

Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten:

1. Die von der Firma X durchgeführte Datenbearbeitung zielt darauf ab, den Urheberrechtsinhabern die Möglichkeit zu eröffnen, die hinter einem Austausch urheberrechtlich geschützter Daten ste- henden Personen (Inhaber des Internetanschlusses bzw. Urheberrechtsverletzer) zu bestimmen. Da dies aufgrund der Verbindungsdaten (insbesondere der IP-Adresse) im Rahmen einer Strafan- zeige in der Regel möglich ist, werden namentlich IP-Adressen als personenbezogene Daten an- gesehen (Art. 3 lit. a DSG; Basler Kommentar zum DSG, Urs Belser zu Art. 3 DSG, Rz. 6; Artikel 29 Datenschutzgruppe, Stellungnahme 04/2007 zum Begriff „personenbezogene Daten“, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_de.pdf). Da die IP-Adresse ein personenbezogenes Datum darstellt, sind alle mit ihr in Verbindung gebrachten Daten (wie in Rz. 4 aufgeführt) ebenfalls als personenbezogene Daten anzusehen. Zudem können in diesem Zusammenhang diese Daten als besonders schützenswertes Personendaten gemäss Art. 3 lit. c Ziff. 4 DSG angesehen werden, da sie im Rahmen eines Strafverfahrens zur Feststellung einer Straftat verwendet werden.

2. Unter „Bearbeiten“ ist jeder Umgang mit Personendaten zu verstehen, dabei insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG). Im vorliegenden Fall beschafft, verwendet und bewahrt die Firma X personenbezogene Daten auf und gibt die so erhobenen Personendaten an die Urheberrechtsin- haber bzw. deren Rechtsvertreter ins Ausland weiter. In einem zweiten Schritt verwenden die Ur- heberrechtsinhaber bzw. deren Rechtsvertreter die Verbindungsdaten, um über eine Strafanzeige den Inhaber des dazugehörigen Internetanschlusses zu identifizieren. Um die von der Firma X durchgeführte Datenbearbeitung beurteilen zu können, muss diese im Gesamtkontext und nicht isoliert betrachtet werden.

3. Die urheberrechtlich geschützten Werke sowie die zum Download benötigten Verbindungsdaten (IP-Adresse), für welche die Firma X einen Nachforschungsauftrag hat, werden auf peer-to-peer Plattformen von Teilnehmern an Tauschbörsen teilweise öffentlich zugänglich gemacht. Zudem ist die Firma X ohnehin ein Tauschpartner und erhält die zur Verbindung und dem dazugehörigen Download relevanten Daten vom Anbieter der jeweiligen Datei auf freiwilliger Basis. Diese der Firma X zugänglich gemachten Verbindungsdaten fallen daher nicht unter das Fernmeldegeheim- nis. Für deren Bearbeitung (insbesondere Sammlung, Verarbeitung und Weitergabe der von der Firma X gesammelten personenbezogenen Daten) ist das Datenschutzgesetz (Art. 2 Abs. 1 lit. a DSG) anwendbar.

Im Gegensatz zu den im vorliegenden Fall ausgetauschten und damit gegenüber dem Tausch- partner zugänglich gemachten Verbindungsdaten sind die zugehörigen Identitätsdaten (wie Name, Vorname, Adresse, etc., welche lediglich dem Anbieter des Internetanschlusses bekannt sind) grundsätzlich vom Fernmeldegeheimnis geschützt. Lediglich aufgrund einer gesetzlichen Grund- lage kann das Fernmeldegeheimnis durchbrochen werden. Auf diese Weise können Untersu- chungsbehörden gestützt auf Art. 5 des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (SR 780.1, BÜPF) und Art. 14 Abs. 4 BÜPF aufgrund von Verbindungs- daten die dazugehörigen Identitätsdaten von den Anbietern von Fernmeldediensten herausver- langen. Obwohl das DSG auf ein Strafverfahren keine Anwendung findet (Art. 2 Abs. 2 lit. c DSG), sind die Untersuchungsbehörden dazu berechtigt, bei der Gewährung von Akteneinsichtsrechten gegenüber den Geschädigten mögliche entgegenstehende öffentliche und private Interessen zu berücksichtigen (vgl. z.B. Art. 108 des Entwurfs der Schweizerischen Prozessordnung StPO) und

4/12

eine Interessensabwägung im Hinblick auf die Bekanntgabe der Daten durchzuführen. Zudem sind auch die Strafverfolgungsbehörden an das Amtsgeheimnis gebunden (Art. 320 StGB).

4. Die Voraussetzungen für eine Empfehlung im Sinne des DSG sind gegeben, da die Bearbei- tungsmethoden grundsätzlich geeignet sind, die Persönlichkeit einer grösseren Anzahl von Per- sonen zu verletzen (Art. 29 Abs. 1 lit. a DSG). Verstösst eine Datenbearbeitung zudem gegen die Vorschriften des Datenschutzes, kann der EDÖB gestützt auf Art. 29 Abs. 3 DSG empfehlen, die Datenbearbeitung zu ändern, einzustellen oder zu unterlassen.

5. Um die Konformität der Datenbearbeitung durch die Firma X mit dem DSG beurteilen zu können, muss diese im Hinblick auf die Voraussetzungen für eine rechtmässige Datenbearbeitung geprüft werden. Eine solche ist gegeben, wenn die Datenbearbeitung den Grundsätzen des Datenschut- zes entspricht, welche namentlich sind: die Einhaltung des Rechtmässigkeitsprinzips (Art. 4 Abs. 1 DSG), des Zweckmässigkeitsprinzips (Art. 4 Abs. 3 DSG), des Transparenzprinzips (Art. 4 Abs. 2 DSG), des Verhältnismässigkeitsprinzips (Art. 4 Abs. 2 DSG) sowie die Grundsätze für eine Be- kanntgabe der Daten ins Ausland (Art. 6 DSG). Falls diese nicht eingehalten werden und bei der Datenbearbeitung von einer Persönlichkeitsverletzung ausgegangen werden muss (Art. 12 DSG), ist darüber hinaus zu prüfen, ob Rechtfertigungsgründe (Art. 13 DSG) vorliegen, welche eine Da- tenbearbeitung dennoch ermöglichen. In diesem Rahmen kann die Firma X nach Art. 14 Abs. 2 DSG dieselben Rechtfertigungsgründe geltend machen, wie die Urheberrechtsinhaber.

Rechtmässigkeitsprinzip

6. Bis heute existiert in der Schweiz weder eine spezifische gesetzliche Grundlage, welche die sys- tematische Erhebung von IP-Adressen in peer-to-peer Netzwerken erlaubt, noch ist eine solche Datenerhebung explizit verboten (vgl. StGB, BÜPF). Daher gelangt im vorliegenden Fall das DSG zur Anwendung. Im europäischen Ausland werden derzeit verschiedene gesetzliche Regelungen zur Bekämpfung der Film- und Musikpiraterie diskutiert.

Da die Datenbearbeitung ohne Wissen der betroffenen Personen automatisiert und proaktiv durchgeführt wird sowie der Inhaber der Datensammlung darüber hinaus in die Lage versetzt wird, mit den gesammelten Daten im Nachgang Strafuntersuchungen gegen eine von vorne herein un- bestimmte Anzahl von Personen anzustossen, vertritt der EDÖB die Meinung, dass eine solche Untersuchung explizit gesetzlich geregelt werden muss. Dies gilt vor allem, da eine solche Daten- bearbeitung eine grosse Reichweite hat und die Persönlichkeitsrechte einer Vielzahl betroffener Personen tangiert werden. Der gesetzliche Rahmen sollte darüber hinaus die Beweiskraft solcher über das Internet gesammelten Daten und ihre Zulässigkeit als Beweismittel regeln.

Zweckmässigkeitsprinzip

7. Gemäss dem Zweckmässigkeitsprinzip dürfen personenbezogene Daten nur zu dem Zweck ver- wendet werden – eine entsprechende gesetzliche Regelung vorbehalten – der bei deren Erhe- bung angegeben wurde oder aus den Umständen erkennbar ist.

8. Bei der Nutzung von peer-to-peer Netzwerken besteht der Zweck der Bekanntgabe und des Aus- tausches von IP-Adressen im Austausch von Dateien zwischen den einzelnen Nutzern des peer- to-peer Netzwerkes. Die Verwendung dieser Daten durch die Firma X zum Zwecke der Feststel- lung von Urheberrechtsverletzungen stellt eine Entfremdung des ursprünglich angestrebten Zwecks dar. Aus den konkreten Umständen der Nutzung eines peer-to-peer Netzwerkes ist zu- dem auch nicht erkennbar, dass ein Tauschpartner systematisch Daten sammelt. Daher müsste

5/12

nach datenschutzrechtlichen Gesichtspunkten die Firma X gegenüber den betroffenen Nutzern des peer-to-peer Netzwerkes den Zweck der von ihr durchgeführten Datenbearbeitung bekannt machen. Da die Firma X allerdings ihre Daten ohne Information und Wissen der betroffenen Per- sonen erhebt, wird das Zweckmässigkeitsprinzip verletzt. In wieweit die Verletzung des Zweck- mässigkeitsprinzips durch ein überwiegendes privates Interesse gerechtfertigt werden kann, wird nachfolgend geprüft (siehe Abschnitt: „Notwendigkeit eines Rechtfertigungsgrundes“).

Treu und Glauben sowie Transparenzprinzip

9. Datenbearbeitungen haben nach Treu und Glauben zu erfolgen (vgl. Art. 4 Abs. 2 DSG). Gegen den Grundsatz von Treu und Glauben verstösst z.B. derjenige, welcher heimlich Daten beschafft, ohne dabei gegen eine Rechtsnorm zu verstossen (BBl 1988 II 449). Aus diesem Prinzip ist die Anforderung abzuleiten, dass eine Datenbeschaffung für die betroffene Person transparent erfol- gen muss. Dies bedeutet, dass eine Datenbeschaffung und jede weitere Datenbearbeitung grund- sätzlich für die betroffene Person erkennbar sein muss, der Betroffene also aus den Umständen heraus damit rechnen muss oder er entsprechend informiert bzw. aufgeklärt wird. Je einschnei- dender die Datenbearbeitung in Bezug auf die Persönlichkeitsrechte ist, desto höhere Anforde- rungen werden an die Transparenz gestellt (vgl. U. Maurer in Basler Kommentar, Datenschutzge- setz, Maurer/Vogt. Hrsg., 2006, Art. 4 Rz. 8). Nach den Regelungen des revidierten Datenschutz- gesetzes (Art. 7a rev. DSG) wird sogar eine aktive Informationspflicht gefordert, wenn es sich um besonders schützenswerte Personendaten handelt und kein überwiegendes öffentliches oder pri- vates Interesse dem entgegensteht (BBl 2003 I 2131).

10. Die von der Firma X durchgeführte Datensammlung erfolgt ohne jedes Wissen der betroffenen Personen (sei es der Inhaber des Internetanschlusses oder der eigentliche Urheberrechtsverlet- zer) und muss daher als heimliche Datenbeschaffung angesehen werden. Weder auf den Websei- ten der Tauschbörsen, auf welchen man die File-Sharing-Software zur Teilnahme an einem peer- to-peer Netzwerk herunterladen kann, noch über die Kommunikationskanäle, über welche File- Sharing-Programme in der Regel verfügen, wird auf die Möglichkeit hingewiesen, dass die Ver- bindungsdaten aufgezeichnet werden könnten. Der Inhaber des Internetanschlusses erhält von der Datenaufzeichnung in keinem Fall Kenntnis, da er im Kommunikationsprozess zwischen dem Urheberrechtsverletzer und der Firma X nicht eingebunden ist. Zudem hat die Firma X denn auch eigens zur Sammlung von solchen Verbindungsdaten eine Software (File Sharing Monitor) entwi- ckelt, welche dazu dient systematisch und ohne Kenntnis der Betroffenen Verbindungsdaten auf- zuzeichnen. Alleine schon die Konzeption der Software, welche es erlaubt unerkannt Dateien her- unterzuladen ohne dabei gleichzeitig andere Dateien zum Upload bereitzustellen ist darauf ange- legt, heimlich Verbindungsdaten aufzuzeichnen. Heute gestatten übliche File-Sharing Programme eine Teilnahme an einem peer-to-peer Netzwerk nur dann einen Download, wenn gleichzeitig Da- teien zum Upload zur Verfügung gestellt werden. Die Software der Firma X umgeht im peer-to- peer Netzwerk einen Upload, um am Tauschgeschehen teilzunehmen. Damit täuscht die von der Firma X verwendete Software vor, sie sei ein gewöhnlicher Teilnehmer eines peer-to-peer Netz- werkes, um so inkognito bzw. ohne Wissen der betroffenen Personen (Inhaber des Internetan- schlusses und/oder Urheberrechtsverletzer) Daten zu sammeln.

11. In wieweit die Verletzung des Transparenzprinzips durch ein überwiegendes privates Interesse gerechtfertigt werden kann, wird nachfolgend geprüft (siehe Abschnitt: „Notwendigkeit eines Rechtfertigungsgrundes“).

12. Weiterhin werden die von der Firma X gesammelten Daten vorwiegend mit dem Ziel gesammelt, um den Inhaber des jeweiligen Internetanschlusses zu identifizieren und anschliessend gegen-

6/12

über diesem Zivilansprüche geltend zu machen. Da die Identifizierung der Inhaber eines Internet- anschlusses ausschliesslich im Rahmen einer Strafanzeige möglich ist, da die Identitätsdaten grundsätzlich durch das Fernmeldegeheimnis geschützt sind, umgehen die Urheberrechtsinhaber mit der Einleitung eines Strafverfahrens als Mittel zum Zweck zur Feststellung der Identität des In- habers des Internetanschlusses und zur Geltendmachung von Zivilansprüchen gegenüber diesen das Fernmeldegeheimnis. Ein solches Vorgehen ist als dem Prinzip von Treu und Glauben entge- gengesetzt bzw. als rechtsmissbräuchlich anzusehen, da die Urheberrechtsinhaber das Rechtsin- stitut der Akteneinsicht in einem Strafverfahren gegenüber einem Urheberrechtsverletzer dazu verwenden, sich für ein Zivilverfahren gegen einen gutgläubigen Inhaber eines Internetanschlus- ses durch die Umgehung des Telefongeheimnisses eine bessere Ausgangslage zu verschaffen. Es liegt in diesem Falle ein Institutionenmissbrauch vor (Heinrich Honsell, Basler Kommentar zum Zivilgesetzbuch, 2. Auflage, Helbing & Lichtenhahn Verlag, Basel, 2002, Art. 2, Rz. 51). Dies gilt umso mehr, als die Urheberrechtsinhaber bzw. ihre Rechtsvertreter meist nicht einmal das Ende der Strafuntersuchung abwarten, um ihre Zivilansprüche gegen den eigentlichen Urheberrechts- verletzer geltend zu machen. Vielmehr nehmen sie bereits während der laufenden Strafuntersu- chung Akteneinsicht, um die Identität der gutgläubige Inhaber des Internetanschlusses zur Gel- tendmachung von zivilrechtlichen Forderungen festzustellen, obwohl diese keine Urheberrechts- verletzung begangen haben müssen.

13. Daher muss im Rahmen einer rein zivilrechtlichen Geltendmachung von Schadensersatzansprü- chen im vorliegenden Fall ein überwiegendes privates Interesse der Urheberrechtsinhaber abge- lehnt werden. Da ein solches Vorgehen darüber hinaus gegen den Grundsatz von Treu und Glau- ben verstösst, erübrigt sich eine Verhältnismässigkeitsprüfung für die Datenerhebung im Hinblick auf die Anstrengung eines Zivilverfahrens. Wenn eine Durchbrechung des Fernmeldegeheimnis- ses im Rahmen eines Zivilverfahrens ermöglicht werden soll, bedarf es nach Meinung des EDÖB hierzu einer gesetzlichen Grundlage, welche analog wie die BÜPF im Strafverfahren die Bedin- gungen für eine Durchbrechung des Fernmeldegeheimnisses regelt.

Verhältnismässigkeit der Datenbearbeitung zur Anstrengung eines Strafverfahrens

14. Nachfolgend wird die Verhältnismässigkeit ausschliesslich für die von der Firma X durchgeführte Datenbearbeitung im Rahmen der Anstrengung eines Strafverfahrens geprüft.

15. Damit eine Massnahme, welche in den Persönlichkeitsbereich einer privaten Person eingreift, als verhältnismässig eingestuft werden kann, muss diese im Hinblick auf den zu erreichenden Zweck geeignet und notwendig sein. Ausserdem muss der angestrebte Zweck in einem vernünftigen Verhältnis zum Eingriff in den Persönlichkeitsbereich der privaten Person stehen (Zumutbarkeit).

Geeignetheit

16. Um eine Urheberrechtsverletzung gemäss Art. 67 URG strafrechtlich ahnden zu können, ist es notwendig, den Verletzer des Urheberrechts festzustellen. Mit den von der Firma X unternomme- nen Massnahmen kann aufgrund der IP-Adresse inklusive Datum und Uhrzeit ihrer Verwendung der Inhaber des jeweiligen Internetanschlusses durch Untersuchungsbehörden mittels gesetzlich legitimierter Durchbrechung des Fernmeldegeheimnisses identifiziert werden (Art. 14 Abs. 4 BÜPF, vgl. auch hierzu Kritik von Bondallaz, a.a.O. Rz. 1803ff., 1834). Diese Massnahme ist ge- eignet, um den Täterkreis auf diejenigen Personen einzuschränken, welche den Internetanschluss benutzen und basierend hierauf weitere Massnahmen (wie z.B. Einvernahmen, Hausdurchsu- chungen und/oder Beschlagnahmungen) zu ergreifen, um den tatsächlichen Urheberrechtsverlet-

7/12

zer feststellen zu können. Daher ist die von der Firma X durchgeführte Datenbearbeitung geeig- net, um eine Strafuntersuchung einzuleiten.

Erforderlichkeit

17. Die von der Firma X im Auftrag der Urheberrechtsinhaber ergriffenen Massnahmen zielen letztlich auf die Identifikation des Inhabers des Internetanschlusses ab. Für eine Anzeige bei den zustän- digen Strafverfolgungsbehörden ist grundsätzlich ein erster Anhaltspunkt nötig, damit ein Strafver- fahren gegen eine bestimmte Person eingeleiten werden kann. Daher kann es erforderlich sein, in diesem Rahmen eine Urheberrechtsverletzung festzustellen, da somit die Erfolgswahrscheinlich- keit der Überführung des Täters erheblich gesteigert wird.

Zumutbarkeit

18. Zur Feststellung einer Straftat, vertritt der EDÖB die Meinung, dass es einem Inhaber eines Inter- netanschlusses, über welchen eine Straftat begangen wurde, zuzumuten ist, einer Strafuntersu- chung ausgesetzt zu werden, solange ihm hierdurch – bei Unschuldigkeit – keine ernsthaften Nachteile erwachsen. Solche können dem (unschuldigen) Inhaber eines Internetanschlusses bzw. weiteren Nutzer eines Internetanschlusses allerdings drohen, wenn dessen Identität im Rahmen des Akteneinsichtsrechts zu einem Zeitpunkt, in dem der Urheberrechtsverletzer noch nicht ermit- telt wurde, den geschädigten Urheberrechtsinhabern bekannt gegeben wird. Der Tatsache, dass die Identitätsdaten hinter einer IP-Adresse grundsätzlich vom Fernmeldegeheimnis geschützt sind, ist im Rahmen des Auskunftsrechts der Geschädigten nach Meinung des EDÖB zwingend Rechnung zu tragen. Für die Urheberrechtsinhaber als Geschädigte ist es für die Wahrnehmung ihrer Mitwirkungs- und Kontrollrechte (vgl. Hauser/Schweri a.a.O, § 38 Rz. 5) nicht notwendig, die Identität des Inhabers des Internetanschlusses zu erhalten, welcher keine Urheberrechtsverlet- zung begangen hat. Ausserdem können Sie ihre zivilrechtlichen Ansprüchen gegenüber dem Ur- heberrechtsverletzer im Strafverfahren adhäsionsweise geltend machen. Hingegen ist dem über- führten Urheberrechtsverletzer die Bekanntgabe seiner Identität gegenüber den geschädigten Ur- heberrechtsinhabern sehr wohl zuzumuten.

Notwendigkeit eines Rechtfertigungsgrundes

19. Die Aufzeichnung der Verbindungsdaten durch den „File Sharing Monitor“ stellt aufgrund der oben genannten Gründe (Rz. 6-19) eine Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 DSG dar, wel- che zur Anstrengung eines Strafverfahrens eines Rechtfertigungsgrundes nach Art. 13 Abs. 1 DSG bedarf. Art. 13 Abs. 1 DSG sieht als mögliche Rechtfertigungsgründe die Einwilligung des Verletzten, ein überwiegendes öffentliches oder privates Interesse oder das Gesetz vor. Bei der Datenbearbeitung der Personendaten durch die Firma X liegt keine Einwilligung der betroffenen Personen (weder des Inhabers der IP-Adresse noch des Urheberrechtsverletzers) vor, da die Da- tenerhebung ohne deren Wissen erfolgt. Während vom gutgläubigen Inhaber eines Internetan- schlusses nie von einer Einwilligung ausgegangen werden kann, ist für den Urheberrechtsverlet- zer zu prüfen, ob er mit einer solchen Datenerhebung rechnen musste. Im vorliegenden Fall kann nicht von einer impliziten Einwilligung des Urheberrechtsverletzers ausgegangen werden, da die Daten lediglich zum Zwecke eines Datentransfers (urheberrechtlich geschütztes Werk in elektro- nischer Form) zwischen zwei Computerprogrammen ausgetauscht und übertragen werden und der gewöhnliche Nutzer nicht davon ausgehen kann, dass der Tauschpartner von diesen Übertra- gungsdaten ohne weiteres Zutun Kenntnis erhält. So hat auch die Firma X eigens eine spezielle Software („File Sharing Monitor“) entwickelt, um diese Daten überhaupt systematisch auszulesen und speichern zu können. Weiterhin ist ebenfalls keine gesetzliche Grundlage oder ein überwie-

8/12

gendes öffentliches Interesse für die von der Firma X durchgeführte Datenbearbeitung ersichtlich. Dennoch kann sich der Urheberrechtsverletzer im Gegensatz zum gutgläubigen Inhaber eines In- ternetanschlusses aufgrund der von ihm begangenen Straftat nicht auf seine Gutgläubigkeit beru- fen.

20. Damit ein überwiegendes privates Interesse angenommen werden kann, müssen gewisse Anfor- derungen erfüllt sein. Art. 13 Abs. 2 DSG enthält eine Aufzählung von sechs nicht abschliessen- den Rechtfertigungsgründe, welche dem Richter einen gewissen Anhaltspunkt für die Interessen- abwägung an die Hand geben sollen. So ist etwa „ein Beschaffen von Daten mit unrechtmässigen Mitteln nur selten, ein Beschaffen wider Treu und Glauben praktisch überhaupt nie zu rechtferti- gen“, während sich für eine blosse unrichtige Datenbearbeitung wohl eher ein Rechtfertigungs- grund finden lässt. Hierbei lassen sich die Rechtfertigungsgründe grundsätzlich in vier Gruppen einteilen ([direkte] wirtschaftliche Tätigkeiten, insbesondere Vertragsabschluss, wirtschaftlicher Wettbewerb, Kreditüberprüfung; Veröffentlichung in einem Medium; nicht personenbezogene Da- tenbearbeitung sowie Daten einer Person des öffentlichen Lebens bezüglich ihres Wirkens in der Öffentlichkeit). Ob ein Rechtfertigungsgrund gegeben ist, muss aufgrund der konkreten Umstände im Einzelfall anhand einer sorgfältigen Interessensabwägung entscheiden werden (Urteil der EDSK vom 21. November 1996, VPB 62.42B, E. V 1b). Als schützenswerte Interessen können hierbei alle „Interessen von allgemein anerkanntem Wert“ angesehen werden (A. Bucher, natürli- che Personen, S. 536 in Basler Kommentar zum DSG Corrado Rampini zu Art. 13 DSG Rz. 22).

21. Eine von der Firma X vorgenommene Datenbearbeitung und die anschliessende Einleitung eines Strafverfahrens (durch die Urheberrechtsinhaber bzw. deren Rechtsvertreter) zur Erlangung der sich hinter einer IP-Adresse verbergenden Identitätsdaten für die Anstrengung eines Zivilverfah- rens verstossen gegen das Prinzip von Treu und Glauben. Eine solche Datenbearbeitung zur Gel- tendmachung von Zivilansprüchen kann daher nicht gerechtfertigt werden (vgl. Rz. 12).

22. Aus Art. 13 Abs. 2 DSG kann im vorliegenden Fall nur für Einleitung eines Strafverfahrens ein überwiegendes privates Interesse als Rechtfertigungsgrund entnommen werden, wobei allerdings eine Interessensabwägung entwickelt werden muss (vgl. Rz. 14ff.).

23. Bei der Verfolgung von strafrechtlich relevanten Verstössen gegen das Urheberrecht haben die Inhaber des Urheberrechts ein Interesse an der strafrechtlichen Ahndung solcher Verletzungen und im Nachgang an das Strafverfahren als Geschädigter ein Interesse an Entschädigungszah- lungen, um den so entstandenen wirtschaftlichen Schaden (lucrum cessans) zu kompensieren. Diesen Interessen stehen die Persönlichkeitsrechte, insbesondere die informationelle Selbstbe- stimmung, der betroffenen Personen (Inhaber des Internetanschlusses und Urheberrechtsverlet- zer) gegenüber.

24. Eine Urheberrechtsverletzung gemäss Art. 67 URG ist nach Schweizer Recht ein Antragsdelikt. Damit eine Untersuchungsbehörde überhaupt ein Untersuchungsverfahren eröffnet, ist es not- wendig, einen Anfangsverdacht einer Verletzung eines Urheberrechts festzustellen. Daher müs- sen gewisse Anhaltspunkte vorliegen, welche eine mutmassliche Urheberrechtsverletzung ge- mäss Art. 67 URG begründen. Sogar für eine heimliche Datenbearbeitung kann in diesem Rah- men ein ausreichender Rechtfertigungsgrund gegeben sein, wenn die Gefahr besteht, dass eine vorherige Anzeige aufgrund des Transparenzprinzips ein Strafverfahren verunmöglicht oder we- sentlich erschwert, da der Urheberrechtsverletzer wichtige Beweismittel vernichten könnte bzw. diese gar nicht erst erhoben werden könnten.

9/12

25. Nach erfolgter Anzeige gegen Unbekannt ist es Sache der jeweiligen Strafverfolgungsbehörden, den tatsächlichen Sachverhalt zu ermitteln und den Täter ausfindig zu machen. Grundsätzlich stehen den Geschädigten im Rahmen eines Strafverfahrens Parteirechte, insbesondere Mitwir- kungs- und Kontrollrechte zu (Hauser, Schweri, Schweizerisches Strafprozessrecht, 4. neu über- arbeitete und ergänzte Auflage, Helbing & Lichtenhahn, Basel, Genf, München, 1999, §38, Rz. 5, 7). Hierbei beurteilt sich die Frage der Akteneinsicht nach den allgemeinen Verfahrensgrundsät- zen wie sie auch in dem Entwurf zur Schweizerischen Strafprozessordnung (StPO, http://www.admin.ch/ch/d/ff/2007/6977.pdf) geregelt sind. Gemäss Art. 108 StPO darf die Ein- sichtnahme verweigert oder beschränkt werden, wenn ihr wesentliche öffentliche und private Inte- ressen entgegenstehen oder wenn ein begründeter Verdacht besteht, dass eine Partei ihre Rech- te missbraucht (BBl 2007 Nr. 42 S. 6977). In BGE 95 I 109 stellt das Bundesgericht fest, dass das Akteneinsichtsrecht (sowohl in abgeschlossenen als auch in laufenden Verfahren) seine Grenzen an den öffentlichen Interessen des Staates oder den berechtigten Geheimhaltungsinteressen Pri- vater findet. Aus diesem Grund kann es geboten sein, im Rahmen von laufenden Untersuchungen das Akteneinsichtsrecht zu verweigern. Im vorliegenden Fall wird das Akteneinsichtsrecht dazu gebraucht, gegenüber dem Inhaber eines Internetanschlusses ein Zivilverfahren zu einem Zeit- punkt anzustrengen, in welchem das Strafverfahren noch nicht abgeschlossen ist und der Urhe- berrechtsverletzer noch nicht feststeht. Zudem hat die geschädigte Partei ausschliesslich über das Akteneinsichtsrecht die Möglichkeit die sich hinter einer IP-Adresse verbergende Identität des An- schlussinhabers zu erlangen. In einem rein zivilrechtlichen Verfahren besteht eine solche Mög- lichkeit nicht, da die Identität hinter einer IP-Adresse vom Fernmeldegeheimnis geschützt ist. Wird die Identität des Inhabers eines Internetanschlusses dem Urheberrechtsinhaber bekannt, kann sich der Inhaber des Internetanschlusses mit Zivilforderungen konfrontiert sehen, obwohl er mög- licherweise keine Urheberrechtsverletzung begangen hat. Der EDÖB vertritt die Meinung, dass eine solche Durchbrechung des Fernmeldegeheimnisses nur aufgrund einer gesetzlichen Grund- lage möglich sein darf. Auf der anderen Seite entsteht dem Urheberrechtsinhaber kein nicht wie- der gutzumachender Nachteil, wenn das Akteneinsichtsrecht erst nach erfolgreichem Abschluss der Strafuntersuchung gewährt wird und der Urheberrechtsverletzer gefunden wurde. Selbst eine adhäsionsweise Geltendmachung der Zivilansprüche im Rahmen des Strafverfahrens würde aus- reichen, um die Zivilforderungen des Urheberrechtsinhabers angemessen zu berücksichtigen. Daher gebietet es das schützenswerte private Interesse des Anschlussinhabers, dass seine Iden- tität nur dann bekannt gegeben wird, wenn ihm eine Urheberrechtsverletzung nachgewiesen wer- den konnte und er sich daher nicht auf seine Gutgläubigkeit berufen kann.

26. Dies gilt umso mehr als gemäss Art. 8 Abs. 1 der Konvention zum Schutze der Menschenrechte und Grundfreiheiten (SR 0.101, EMRK) jede Person das Recht auf Achtung ihres Privat- und Fa- milienlebens, ihrer Wohnung und ihrer Korrespondenz hat. Dieses Recht kann gemäss Art. 8 Abs. 2 EMRK von einer Behörde aufgrund einer gesetzlichen Grundlage (z.B. durch die BÜPF in Straf- verfahren) eingeschränkt werden. Da sich allerdings Art. 8 Abs. 1 EMRK nicht nur an den Gesetz- geber, sondern auch an die anwendenden Behörden (hier die Strafverfolgungsbehörden) richtet (Stéphane Bondallaz, La protection des personnes et de leur données dans les télécommunicati- ons, Schulthess, Zürich, Basel, Genf, 2007, Rz. 334, S. 103), sind auch diese angehalten, die Persönlichkeitsrechte im Rahmen des Akteneinsichtsrechts zu schützen. Daher sollte in jedem Fall verhindert werden, dass die Identität eines Inhabers des Internetzugangs (welche durch das Fernmeldegeheimnis geschützt ist und nur aufgrund einer gesetzlichen Grundlage durchbrochen werden kann) bekannt wird, solange diesem keine Schuld an der Urheberrechtsverletzung nach- gewiesen werden kann.

27. In der derzeitigen Praxis kann aufgrund des von den Untersuchungsbehörden gewährten Akten- einsichtsrechts, die von der Firma X unternommene Datenbearbeitung nicht auf den Zweck der

10/12

strafrechtlichen Verfolgung der Urheberrechtsverletzung nach Art. 67 URG beschränkt werden. Vielmehr werden über den Institutionsmissbrauch des Akteneinsichtsrechts diese von der Firma X erhobenen Daten unrechtmässig zur Anstrengung von Zivilverfahren gegen die jeweiligen gut- gläubigen Inhaber des Internetanschlusses verwendet. Damit wird letztendlich im zivilrechtlichen Bereich das Fernmeldegeheimnis umgangen und die Urheberrechtsinhaber machen hiervon auch regen Gebrauch. Da hierdurch die Persönlichkeitsrechte einer unbeschränkten Anzahl gutgläubi- ger Inhaber von Internetanschlüssen verletzt werden, kann auch im vorliegenden Fall die An- strengung eines Strafverfahrens nicht als ausreichender Rechtfertigungsgrund angesehen wer- den, solange nicht gewährleistet werden kann, dass die Identität gutgläubiger Inhaber von Inter- netanschlüssen im Strafverfahren geschützt werden.

Notwendigkeit einer gesetzlichen Grundlage und Schlussfolgerung

28. Faktisch ist der Umweg über die Einleitung eines Strafverfahrens, um so die Identität des Inhabers des Internetanschlusses zu erhalten, eine Umgehung des Fernmeldegeheimnisses im privatrecht- lichen Bereich. Gemäss Art. 35 Abs. 1 BV ist der Gesetzgeber dazu angehalten, die Grundrechte, welche die Privatsphäre schützen auch im privatrechtlichen Bereich durchzusetzen (S. Bondallaz, a.a.O., Rz. 265). Eine Durchbrechung des Fernmeldegeheimnisses bedarf daher (wenn eine sol- che vom Gesetzgeber gewünscht wird) aus Sicht des EDÖB einer expliziten gesetzlichen Grund- lage, welche regelt, wann, wie und unter welchen Bedingungen eine solche Durchbrechung mög- lich sein sollte. Das blosse Ausnutzen einer Gesetzeslücke kann hierfür nicht ausreichen.

29. Bereits in der parlamentarischen Diskussion zu Art. 51 URG im Hinblick auf die Durchsetzung der Auskunftspflicht von Nutzern urheberrechtlicher Werke gegenüber den Verwertungsgesellschaften präzisiert der Gesetzgeber in der Botschaft hierzu, dass die Erteilung von Auskünften zur Gel- tendmachung zivilrechtlicher Ansprüche nicht hoheitlich durchgesetzt werden kann, sondern er verweist ausdrücklich auf den privatrechtlichen Klageweg (BBl 1989 III 561). Auch in der kürzlich geführten parlamentarischen Diskussion zur Umsetzung des WIPO-Abkommens wurde ein Aus- bau der verwandten Schutzrechte diskutiert. Dieser wurde allerdings vom Gesetzgeber abgelehnt, da kein ersichtlicher Grund besteht von der 1992 vorgenommenen Interessensabwägung abzu- weichen (BBl 2006 3404). Somit hat der Gesetzgeber bisher für eine Durchsetzung von zivilrecht- lichen Urheberrechtsansprüchen mit hoheitlichen Mitteln noch keine gesetzliche Grundlage ge- schaffen.

30. Aus datenschutzrechtlicher Sicht könnte daher einzig die Sammlung von IP-Adressen inklusive Zeitstempel zum Zwecke der Strafverfolgung als ein überwiegendes privates Interesse angesehen werden (vgl. Rz. 19-24). Solange allerdings (sowohl in der Schweiz wie auch im Ausland) nicht gewährleistet ist, dass die Identität der Inhaber eines Internetanschlusses solange geschützt bleibt, bis diese der Urheberrechtsverletzung überführt werden konnten, ist die Datenbearbeitung durch die Firma X und die Urheberrechtsinhaber bzw. deren Rechtsvertreter in ihrer Gesamtheit dazu geeignet, die Persönlichkeit betroffener Personen (Inhaber von Internetanschlüssen, welche keine Urheberrechtsverletzung begangen haben) zu verletzen (vgl. Rz. 25-27).

31. Da nicht ausgeschlossen werden kann, dass die von der Firma X erhobenen Daten in der oben beschriebenen Form zur Identifikation eines Inhabers eines Internetanschlusses, welcher keine Urheberrechtsverletzung begangen hat, verwendet werden, ist die durchgeführte Datenbearbei- tung insgesamt als unrechtmässig zu qualifizieren.

32. Zu prüfen ist auch, ob und in wie weit weniger schwerwiegende Möglichkeiten bestehen, um Ur- heberrechtsverletzungen zu bekämpfen. Hierbei ist vor allem an Massnahmen wie spezielle Filter

11/12

zu denken, die von Anbietern von Internetzugängen genutzt werden können, um den Austausch spezifischer Dateien in P2P-Netzwerken auf der Basis einer Datenbank urheberrechtlich ge- schützter Werke zu unterbinden. Solche Technologien existieren bereits heute 1 .

1 Vgl. http://www.juriscom.net/etc

12/12

III.

Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte: Die Firma X stellt die von ihr praktizierte Datenbearbeitung unverzüglich ein, solange keine ausrei- chende gesetzliche Grundlage für eine zivilrechtliche Nutzung der durch sie erhobenen Daten besteht. Die Firma X teilt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) inner- halb von 30 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Bun- desverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG). Bei Annahme der Empfehlung gilt der Fristablauf (30 Tage) gleichzeitig als Fristbeginn für die Umset- zung der genannten Massnahme. Die vorliegende Empfehlung wird in Anwendung von Art. 30 Abs. 2 DSG in anonymisierter Form pub- liziert.

EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENTLICHKEITSBEAUFTRAGTER

Hanspeter Thür