Internet & Recht - aktuell |
Die Zukunft der Auskunftspflicht
Eine Empfehlung der Datenschutzkommission konterkariert eine OGH-Entscheidung
Der Oberste Gerichtshof hat im Juli 2005 aufgrund einer Nichtigkeitsbeschwerde zur Wahrung des Gesetzes entschieden, dass es sich bei der Offenlegung des Inhabers einer IP-Adresse nur um eine Bekanntgabe von Stammdaten handle und diese ohne die strengen Voraussetzungen des § 149a StPO (unterer Strafrahmen über 6 Monate) quasi formlos zu erfolgen habe. Wenn allerdings daraus geschlossen wurde, dass die Daten jedermann (etwa einer Verwertungsgesellschaft direkt) gleichsam auf Zuruf bekanntzugeben seien, so ist das eine Missinterpretation der Entscheidung. Der OGH hat nämlich nur gesagt, dass die Stammdaten des Namens und der Wohnanschrift eines durch die IP-Adresse identifizierten Teilnehmers gem. § 103 Abs. 4 TKG 2003 formlos bekanntgegeben werden oder durch Vernehmung einer physischen Person des Access-Providers als Zeugen ermittelt werden können (wobei auch gleich die Zwangsmitteln der StPO als Rute ins Fenster gestellt wurden). § 103 Abs. 4 normiert aber eine Ausnahme für Gerichte. Das bedeutet, dass die Bekanntgabe nur über Ersuchen der Gerichte erfolgen darf, in diesem Fall aber ohne weitere Voraussetzungen, insbesondere nicht des § 149a StPO.
Im Oktober 2006 hat die Datenschutzkommission entschieden, dass Provider in Hinkunft dynamisch vergebene IP-Adressen nach Abschluss der technischen und organisatorischen Abwicklung der Verbindung nicht mehr speichern dürfen, andernfalls läge eine Verletzung des Datenschutzgesetzes vor.
Man könnte nun meinen, damit wäre das Kapitel Auskunfterteilung gegenüber den Gerichten erledigt. Ist es aber nicht. Die Gerichte fordern weiter Auskunft über Daten, die der Provider nicht haben darf. Dagegen ist auch nichts einzuwenden. Was wäre nämlich, wenn sich ein Provider nicht an die grundsätzlich für ihn unverbindliche Empfehlung der Datenschutzkommission hält? Dann hat er die Daten und muss sie bekanntgeben! Zu einem Problem könnte das aber werden, wenn einmal ein Untersuchungsrichter Zweifel hat, dass der Provider die Daten nicht hat, und anfängt Zwangsstrafen zu verhängen oder gar Server zu beschlagnahmen. Diese Daten werden ja nicht nur bei der Verfolgung von Tauschbörsennutzern benötigt (wenn das auch bisher der Hauptanwendungsfall war), sondern auch zur Aufklärung von Kapitalverbrechen. Muss ein Provider Daten herausgeben, die er nicht haben darf?
Die Situation scheint verfahren zu sein, eine Lösung kann sinnvoller Weise nur mehr der Gesetzgeber herbeiführen. Meiner Meinung nach sind beide Entscheidungen falsch, was nicht einmal die Schuld der entscheidenden Spruchkörper sein muss. Die Fälle waren einfach ungenügend aufbereitet.
Die OGH-Entscheidung ist falsch, weil Name und Anschrift des Inhabers einer IP-Adresse zwar bei formeller Betrachtung Basisdaten sein mögen, aber niemals im Zusammenhang mit der Funktion der IP-Adresse im Internet. Die IP-Adresse ist ähnlich wie ein Nummernschild, das der Internetnutzer frei sichtbar mit sich trägt, wobei er allerdings sonst verhüllt und unkenntlich ist. Mit der IP-Adresse wird er aber weltweit identifizierbar. In der realen Welt wäre eine derartige Kennzeichnungspflicht niemals durchsetzbar. Nicht für Fußgänger, nicht für Rad- oder Schifahrer, auch wenn sie auch dort gewisse Vorteile für die Polizei hätte. Im Internet ist die Kennzeichnung an sich technisch vorgegeben; sie ist ein Grundstein des Internet, das auf dem Internet-Protokoll (=IP) basiert. Was aber nicht vorgegeben ist, ist, dass diese IP-Adresse gespeichert und später bei Bedarf offengelegt wird. Auch dafür gibt es natürlich viele Interessenten. Nicht nur die Musikindustrie, alle Diensteanbieter im Web interessieren sich brennend für die Identität ihrer Besucher. Gerade das ist aber eine immense, noch nie dagewesene Bedrohung der Privatsphäre und des Kommunikationsgeheimnisses. Was geht jemand anderen an, was Sie in ihren vier Wänden machen, was Sie lesen, was Sie im Fernsehen anschauen, mit wem Sie telefonieren?
Und der OGH meint allen Ernstes, dass diese Daten formlos bekanntzugeben sind? Sind etwa die Internetnutzer vogelfrei nach der Devise: Selber schuld, wer sich darauf einlässt? Es ist ein Trugschluss zu argumentieren, dass dem Auskunft Begehrenden die IP-Adresse ohnedies bereits bekannt sei. Erst die Zuordnung der IP-Adresse zu einer Person identifiziert den Kommunikationsvorgang. Ohne diese Zuordnung ist der Kommunikationsvorgang für den Nachforschenden wertlos: Einer von 600 Millionen Internetnutzern macht dies und jenes im Internet. Wird jetzt dieser Internetnutzer mit Namen und Adresse bekanntgegeben, so stellt erst dieser Vorgang die Bloßstellung der konkreten Kommunikation dar. Ohne diese Zuordnung weiß der Nachforschende gar nichts, mit ihr weiß er alles. Wenn man die Grundrechte des Kommunikationsgeheimnisses und der Privatsphäre halbwegs ernst nimmt - und das ist in unserer digitalen, vernetzten Welt wichtig wie noch nie -, dann darf die im Internet allein schützende Immunität nicht formlos, das heißt ohne strenge Voraussetzungen, aufgehoben werden.
Die Empfehlung der Datenschutzkommission ist falsch, weil sie die Gegebenheiten des Internets missachtet. Richtig ist, dass IP-Adressen mittelbar personenbezogene Daten sein können, weil über die Zuordnungsliste des Access-Providers jederzeit (solange diese Liste gespeichert ist) ein Personenbezug zum Anschlussinhaber hergestellt werden kann. Demgemäß wäre das gesamte Internet eine einzige Datenschutzverletzung und dürfte gar nicht existieren. Bei jeder Bewegung im Internet werden nämlich IP-Adressen gespeichert, das geht gar nicht anders. Das Problem stellt auch nicht die IP-Adresse an sich dar, sondern die Zuordnungsliste, mittels derer aus reinen Maschinenadressen ein Personenbezug hergestellt werden kann. Gibt es diese Zuordnungsliste nicht, sind IP-Adressen keine personenbezogenen Daten und das Datenschutzgesetz ist nicht mehr anwendbar.
Die Empfehlung der Datenschutzkommission muss daher so gedeutet werden, dass anstelle der Speicherung der IP-Adressen die Speicherung der Zuordnungsliste gemeint ist. Die Verarbeitung der IP-Adresse ist als technisch notwendig immer zulässig, die Frage ist aber, ob und wie lange die Zuordnungsliste gespeichert werden darf. Auch diesbezüglich besteht zumindest eine gewisse Zeit eine technische Notwendigkeit. Wir wissen mittlerweile hinlänglich, dass das Internet nicht nur eine Wohltat ist, sondern, dass es auch im Internet böse Menschen gibt, die es für böse Zwecke missbrauchen. Viren, Trojaner, Phishing, Spam sind alltägliche Erscheinungen geworden. Man muss wohl davon ausgehen, dass ein hoher Prozentsatz von Computern im Internet durch Schädlinge aller Art verseucht ist und dass die Besitzer das meist gar nicht wissen. Von diesen Rechnern geht aber eine Bedrohung für das ganze Internet aus. Diese Rechner wirken als Virenschleudern oder werden zu noch schlimmeren Zwecken unbemerkt ferngesteuert. Die Bekämpfung all dieser Übel ist nur möglich, wenn die Wege bis zum Ausgangsrechner zurückverfolgt werden können und dazu ist es notwendig, dass im nachhinein festgestellt werden kann, welcher Computer zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse gehabt hat. Deshalb muss es auch für einen bestimmten Zeitraum eine Zuordnungsliste geben, wobei der Zeitraum aus technischer Sicht sicher nicht 6 Monate betragen muss, wie von der EU in der Vorratsdatenspeicherrichtlinie angeordnet. Tatsache ist aber auch, dass die Rückverfolgung quer durch die ganze Welt gehen kann und damit eine gewisse Zeit in Anspruch nimmt.
Eine zukünftige Regelung - im Interesse des österreichischen Internets sollte sie eher früher als später kommen - sollte diesen Gegebenheiten Rechnung tragen. Dabei stellt sich die früher gehandhabte Praxis als gar nicht so schlechter Kompromiss heraus. Eine dreimonatige Speicherpflicht der Zuordnungsliste und eine gerichtliche Auskunftspflicht nur unter den Voraussetzungen des § 149a StPO wäre meiner Meinung nach ein sinnvoller Interessenausgleich, der auch die Bedürfnisse der Strafverfolgung bei der Verbrechensaufklärung ausreichend berücksichtigt. Wenn der Gesetzgeber meint, dass das Anbieten in Tauschbörsen ein so dramatisches "Verbrechen" darstellt, dass dafür eine Durchbrechung des Kommunikationsgeheimnisses notwendig ist, dann soll er die Strafen für derartige Delikte im § 91 UrhG hinaufsetzen (das wäre bei Veröffentlichung geschützter Werke in großem Umfang leicht zu argumentieren) und nicht den Grundrechtsschutz in allen Bereichen herunterfahren. Dies würde in etwa auch der in Deutschland geplanten Regelung entsprechen.
Siehe auch:
- Das Ende der Auskunftspflicht
- Die Spitzel-Richtlinie
- Offenlegung des Internets?
- Entscheidung HG Wien
- Heise-Artikel über geplante deutsche Regelung (Auskunftsanspruch nur bei Urheberrechtsverletzung in gewerbsmäßiger Weise; Zuordnungen zu IP-Adressen werden als Verkehrsdaten gewertet und sind nur unter engen Voraussetzungen auf richterlichen Beschluss möglich!
- Internet-Provider in der Klemme, ORF-Artikel vom 4.12.2006
- Rechtsdilemma um die Speicherpflicht, ORF-Artikel vom 7.12.2006
- IP-Adressen und die Speicherpflicht, ORF-Artikel vom 13.12.2006
4.12.2006 (Ergänzungen 7.12.)