Volltext (verifizierbarer Originaltext)
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 031 322 43 95, Fax 031 325 99 96 www.edoeb.admin.ch
Empfehlung des EDÖB betreffend die Bearbeitung und Weitergabe von elektronischen Datenspuren durch eine Schweizer Firma im Auftrag von Urheberrechtsinhabern Ausgangslage Eine Schweizer Firma betreibt im Auftrag der Medienindustrie in so genannten Peer-to-Peer- Netzwerken Nachforschungen, um Urheberrechtsverletzungen aufzudecken, welche durch das illegale Anbieten von Musik- und Videodateien begangen werden. Zu diesem Zweck hat sie eine spezielle Software entwickelt, die es ermöglicht, automatisiert in verschiedenen Peer-to-Peer- Netzwerken urheberrechtlich geschützte Werke zu entdecken, die illegal zum Download angeboten werden. Die Software versucht dann die fraglichen Inhalte herunter zu laden und zeichnet währenddessen einen Teil der elektronischen Datenspuren auf, die bei der Herstellung und Aufrechterhaltung der Internetverbindung zum Anbieter des illegal bereitgestellten Werks anfallen. Die auf diese Weise – ohne Wissen und Zutun der hierdurch betroffenen Person (einschliesslich gutgläubiger Inhaber von Internetanschlüssen) – gewonnenen Daten werden periodisch den Rechteinhabern des fraglichen Werks bzw. deren Rechtsvertretern ins Ausland übermittelt. Aufgrund der Verbindungsdaten (insbesondere IP-Adresse) alleine ist in der Regel noch keine direkte Identifikation der sich dahinter verbergenden Person (sei es der Inhaber des Internetanschlusses oder der Urheberrechtsverletzer) möglich. Die einer IP-Adresse zugeordneten Identitätsdaten (wie Name, Adresse, etc.), über welche lediglich der Internetanbieter verfügt, sind durch das Fernmeldegeheimnis geschützt. Im Rahmen der Strafuntersuchung können die jeweiligen Untersuchungsbehörden das Fernmeldegeheimnis durchbrechen, um so die Identität des sich hinter der IP-Adresse verbergenden Inhabers des Internetanschlusses zu erhalten. Aus diesem Grund reichen die Urheberrechtsinhaber bzw. deren Rechtsvertreter, nachdem sie von der Schweizer Firma Verbindungsdaten erhalten haben, bei den zuständigen Untersuchungsbehörden Strafanzeige gegen Unbekannt ein. Durch das Akteneinsichtsrecht verschaffen sich die Urheberrechtsinhaber bzw. deren Rechtsvertreter die Identitätsdaten des Inhabers des Internetanschlusses, mittels denen sie anschliessend in Abmahnverfahren gegenüber diesem (und nicht notwendigerweise dem Urheberrechtsverletzer) Schadensersatzforderungen geltend machen und eine Unterlassungserklärung anstreben. Da es sich bei Internetverbindungsdaten (namentlich der IP-Adresse) um personenbezogene Daten handelt, liegt im vorliegenden Fall eine Datenbearbeitung im Sinne des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) vor. Die durch die Schweizer Firma vorgenommenen Bearbeitungsmethoden sind dazu geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen, zumal die Daten ohne Wissen der betroffenen Personen bearbeitet werden. Aus diesem Grund hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) gestützt auf Art. 29 DSG den Sachverhalt näher abgeklärt.
2/5
Abklärung der Rechtmässigkeit der Datenbearbeitung Um die Konformität der Datenbearbeitung mit dem DSG beurteilen zu können, muss diese im Hinblick auf die Einhaltung der Grundsätze des Datenschutzes überprüft werden, welche namentlich sind: das Rechtmässigkeitsprinzip (Art. 4 Abs. 1 DSG), das Zweckmässigkeitsprinzip (Art. 4 Abs. 3 DSG), das Transparenzprinzip sowie das Prinzip von Treu und Glauben (Art. 4 Abs. 2 DSG), das Verhältnismässigkeitsprinzip (Art. 4 Abs. 2) sowie die Grundsätze für eine Bekanntgabe der Daten ins Ausland (Art. 6 DSG). Falls diese nicht eingehalten werden und bei der Datenbearbeitung von einer Persönlichkeitsverletzung ausgegangen werden muss (Art. 12 DSG), ist darüber hinaus zu prüfen, ob Rechtfertigungsgründe (Art. 13 DSG) vorliegen, welche eine Datenbearbeitung dennoch erlauben. Datenschutzgrundsätze Gemäss Art. 4 Abs. 1 DSG dürfen Personendaten nur rechtmässig beschafft werden. Die Teilnehmer an einem Peer-to-Peer-Netzwerk stellen freiwillig Werke zum Austausch zur Verfügung, wobei zwischen den einzelnen Programmen zur Teilnahme an Peer-to-Peer-Netzwerken Verbindungsdaten ausgetauscht werden. Bis heute existiert in der Schweiz weder eine spezifische gesetzliche Grundlage, welche die systematische Erhebung von IP-Adressen in Peer-to-Peer-Netzwerken erlaubt, noch ist eine solche Datenerhebung explizit verboten. Da allerdings die von der Schweizer Firma durchgeführte Datenbearbeitung ohne Wissen der betroffenen Personen automatisiert und proaktiv durchgeführt wird und diese Daten für die Einleitung von Strafverfahren genutzt werden können, vertritt der EDÖB die Meinung, dass eine solche Datenbearbeitung explizit gesetzlich geregelt werden muss. Der gesetzliche Rahmen sollte darüber hinaus auch die Beweiskraft solcher von Privaten (hier die Schweizer Firma) über das Internet gesammelten Daten und ihre Zulässigkeit als Beweismittel regeln. Auch in anderen Ländern werden entsprechende gesetzliche Regelungen zurzeit diskutiert. Nach Art. 4 Abs. 3 DSG dürfen personenbezogene Daten nur zu dem Zweck verwendet werden – eine entsprechende gesetzliche Regelung vorbehalten –, der bei deren Erhebung angegeben wurde oder aus den Umständen erkennbar ist. In einem Peer-to-Peer-Netzwerk werden die Verbindungsdaten zum Zweck des Austauschs von Inhalten zugänglich gemacht. Die systematische Sammlung und Speicherung dieser Daten zur Feststellung von Urheberrechtsverletzungen stellt daher eine Entfremdung des ursprünglich angestrebten Zwecks dar, welche auch aus den konkreten Umständen der Nutzung eines Peer-to-Peer-Netzwerks für den gewöhnlichen Anwender (und den Inhaber des Internetanschlusses) nicht erkennbar ist. Hier verletzt die Schweizer Firma bei der Datenbearbeitung das Zweckmässigkeitsprinzip. Datenbearbeitungen haben nach Art. 4 Abs. 2 DSG nach dem Prinzip von Treu und Glauben zu erfolgen. Hieraus leitet sich das Transparenzprinzip ab, wonach eine Datenbearbeitung für die betroffene Person erkennbar sein muss, die betroffene Person also aus den Umständen heraus damit rechnen muss oder sie entsprechend informiert bzw. aufgeklärt wird. Die Schweizer Firma sammelt die Daten ohne jedes Wissen der betroffenen Person (sei es der Inhaber des Internetanschlusses oder der eigentliche Urheberrechtsverletzer) und muss daher als heimliche Datenbeschaffung angesehen werden. Da die Verbindungsdaten zwischen den einzelnen Programmen, welche eine Teilnahme an Tauschbörsen ermöglichen, so ausgetauscht werden, dass der Nutzer hiervon im Prinzip keine Kenntnis erhält und auch die Schweizer Firma eigens eine Software entwickelt hat, um diese Daten auszulesen und abzuspeichern, muss der Nutzer einer solchen Software (also der Urheberrechtsverletzer) nicht mit einer solchen Datenbearbeitung rechnen. Da der Inhaber des Internetanschlusses (falls er nicht gleichzeitig Urheberrechtsverletzer ist) nicht einmal am direkten
3/5
Austausch der Inhalte beteiligt ist, erhält er in keinem Fall Kenntnis von der Datenbearbeitung. Daher verletzt die Schweizer Firma auch das Transparenzprinzip. Die Schweizer Firma sammelt darüber hinaus die Daten mit dem Ziel, den Inhaber des jeweiligen Internetanschlusses zu identifizieren, was eine anschliessende Geltendmachung von Zivilforderungen gegenüber dem Anschlussinhaber ermöglicht. Die Identifizierung der Inhaber eines Internetanschlusses ist derzeit ausschliesslich im Rahmen einer Strafanzeige möglich, da nur im Rahmen dieser eine Durchbrechung des Fernmeldegeheimnisses möglich ist und so die Verbindungsdaten zugehörigen Identitätsdaten (welche ausschliesslich bei Anbieter des Internetanschlusses befindlich sind) herausverlangt werden können. Mit der Einleitung eines Strafverfahrens als Mittel zum Zweck der Feststellung der Identität des Inhabers des Internetanschlusses und der Geltendmachung von Zivilansprüchen gegenüber diesem, umgehen die Urheberrechtsinhaber bzw. deren Rechtsvertreter das Fernmeldegeheimnis. Ein solches Vorgehen ist als rechtsmissbräuchlich anzusehen, da das Rechtsinstitut der Akteneinsicht im Strafverfahren gegen einen Urheberrechtsverletzer dazu verwendet wird, um gegenüber einem möglicherweise gutgläubigen Inhaber eines Internetanschlusses Schadensersatzforderungen geltend zu machen. Dies gilt umso mehr, als die Urheberrechtsinhaber bzw. ihre Rechtsvertreter meist nicht einmal das Ende der Strafuntersuchung abwarten, um ihre Zivilansprüche gegen den eigentlichen Urheberrechtsverletzer geltend zu machen, sondern auch schon Schadensersatzforderungen gegenüber Inhabern von Internetanschlüssen geltend machen, obwohl diese keine strafrechtlich relevante Urheberrechtsverletzung begangen haben müssen. Da das rechtsmissbräuchliche Ausnutzen des Akteneinsichtsrechts im Strafverfahren zur Anstrengung eines Zivilverfahrens gegen einen gutgläubigen Inhaber eines Internetanschlusses gegen das Prinzip von Treu und Glauben verstösst und damit nicht gerechtfertigt werden kann, erübrigt sich eine Verhältnismässigkeitsprüfung. Wenn eine Durchbrechung des Fernmeldegeheimnisses im Rahmen eines Zivilverfahrens ermöglicht werden soll, bedarf es nach Meinung des EDÖB hierzu einer gesetzlichen Grundlage, welche die Bedingungen für eine solche Durchbrechung regelt, wie es das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (SR. 780.1, BÜPF) im Strafverfahren tut. Lediglich für die Anstrengung eines Strafverfahrens wird die Datenbearbeitung durch die Schweizer Firma noch auf ihre Verhältnismässigkeit überprüft. Eine Bearbeitung ist verhältnismässig, wenn sie im Hinblick auf den zu erreichenden Zweck geeignet und notwendig ist sowie die ergriffenen Massnahmen in einem vernünftigen Verhältnis zum Eingriff in den Persönlichkeitsbereich der betroffenen Person steht (Zumutbarkeit). Die von der Schweizer Firma vorgenommene Datenbearbeitung ist eine geeignete Massnahme zur Einschränkung des Täterkreises und Erfassung des Sachverhalts einer Urheberrechtsverletzung, um basierend hierauf eine Strafanzeige stellen zu können, welche Aussicht auf Erfolg hat. Zudem ist die Massnahme erforderlich, um erste Anhaltspunkte für die Begehung einer Urheberrechtsverletzung überhaupt feststellen und belegen zu können. Grundsätzlich ist es dem gutgläubigen Inhaber eines Internetanschlusses auch zuzumuten, einer Strafuntersuchung ausgesetzt zu sein, solange ihm hierdurch keine ernsthaften Nachteile erwachsen. Mit solchen ernsthaften Nachteilen ist er allerdings konfrontiert, wenn er aufgrund der Bekanntgabe seiner Identität im Rahmen der Akteneinsicht durch die Urheberrechtsinhaber bzw. deren Rechtsvertreter mit empfindlichen Schadenersatzforderungen konfrontiert wird. Für die Urheberechtsinhaber hingegen ist es zur Wahrnehmung ihrer Mitwirkungs- und Kontrollrechte im Rahmen eines Strafverfahrens grundsätzlich nicht notwendig, die Identität des Inhabers des Internetanschlusses zu erfahren, welcher keine Urheberrechtsverletzung begangen hat. Ausserdem können sie ihre Schadenersatzansprüche im Rahmen des Strafverfahrens gegenüber dem überführten Urheberrechtsverletzer adhäsionsweise geltend machen. Unter den oben genannten Voraussetzungen wäre eine solche Datenbearbeitung zur Anstrengung eines Strafverfahrens als verhältnismässig anzusehen.
4/5
Da die Datenbearbeitung durch die Schweizer Firma im Rahmen der Anstrengung eines Strafverfahrens sowohl das Zweckmässigkeitsprinzip und das Transparenzprinzip verletzt, ist von einer Persönlichkeitsverletzung nach Art. 12 DSG auszugehen, welche eines Rechtfertigungsgrundes nach Art. 13 DSG bedarf. Da die Datenbearbeitung und die nachfolgend ergriffene Strafanzeige zur Geltendmachung von Zivilansprüchen gegen das Prinzip von Treu und Glauben verstösst und als rechtsmissbräuchlich eingestuft werden muss, ist für sie keine Rechtfertigung möglich. Rechtfertigungsgründe Gemäss Art. 13 Abs. 1 DSG ist eine Persönlichkeitsverletzung dann nicht widerrechtlich, wenn sie durch die Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch das Gesetz gerechtfertigt werden kann. Da die Daten ohne Wissen der betroffenen Personen bearbeitet werden, kann die Datenbearbeitung nicht durch die Einwilligung der betroffenen Person gerechtfertigt werden. Auch ein überwiegendes öffentliches Interesse oder eine gesetzliche Grundlage kommen als Rechtfertigungsgrund für die Persönlichkeitsverletzung im vorliegenden Fall nicht in Betracht. Damit die Datenbearbeitung durch die Schweizer Firma als rechtmässig erachtet werden kann, muss sie sich somit auf ein überwiegendes privates Interesse abstützen. Dieses Interesse kann im vorliegenden Fall alleine in der strafrechtlichen Ahndung der Urheberrechtsverletzung gefunden werden, da der Institutionsmissbrauch für das Zivilverfahren gegen die Treuepflicht verstösst. Hierbei stehen sich die Interessen der Rechteinhaber an der strafrechtlichen Verfolgung von Urheberrechtsverletzungen und an Entschädigungszahlungen auf der einen Seite und die Persönlichkeitsrechte – namentlich die informationelle Selbstbestimmung – der betroffenen Personen (insbesondere des gutgläubigen Inhabers eines Internetanschlusses) auf der anderen Seite gegenüber. Aufgrund des in der derzeitigen Praxis von den Untersuchungsbehörden gewährten Akteneinsichtsrechts kann die von dem Schweizer Unternehmen vorgenommene Datenbearbeitung nicht auf den Zweck der strafrechtlichen Verfolgung der Urheberrechtsverletzung beschränkt werden. Vielmehr werden über den Institutionsmissbrauch des Akteneinsichtsrechts diese vom Schweizer Unternehmen erhobenen Daten zur Anstrengung von Zivilverfahren gegen die jeweiligen gutgläubigen Inhaber des Internetanschlusses verwendet. Damit wird letztendlich im zivilrechtlichen Bereich das Fernmeldegeheimnis umgangen. Die Urheberrechtsinhaber machen hiervon auch regen Gebrauch. Da hierdurch die Persönlichkeitsrechte einer unbeschränkten Anzahl gutgläubiger Inhaber von Internetanschlüssen verletzt werden, kann auch im vorliegenden Fall die Anstrengung eines Strafverfahrens nicht als ausreichender Rechtfertigungsgrund angesehen werden, solange nicht gewährleistet ist, dass die Identität gutgläubiger Inhaber von Internetanschlüssen im Strafverfahren geschützt wird. Fazit und Empfehlung Der EDÖB stellt fest, dass die Datenbearbeitung der Schweizer Firma gegen die Grundsätze des DSG verstösst und keine ausreichenden Rechtfertigungsgründe vorliegen, welche eine solche Datenbearbeitung legitimieren. Dies ist vor allem deshalb der Fall, weil die Urheberrechtsinhaber das Institut der Akteneinsicht missbrauchen, um so das Fernmeldegeheimnis im privatrechtlichen Bereich zu durchbrechen. Bereits in den Beratungen zu Art. 51 URG hat der Gesetzgeber festgehalten, dass die Erteilung von Auskünften zur Geltendmachung zivilrechtlicher Ansprüche nicht hoheitlich durchgesetzt werden kann, sondern verweist auf den privatrechtlichen Klageweg. Auch in der kürzlich
5/5
geführten parlamentarischen Diskussion zur Umsetzung des WIPO-Abkommens wurde keine solche Möglichkeit geschaffen. Der EDÖB vertritt daher die Meinung, dass eine solche Durchbrechung des Fernmeldegeheimnisses im privatrechtlichen Bereich einer gesetzlichen Grundlage bedarf. Aus diesen Gründen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte der Schweizer Firma, die von ihr praktizierte Datenbearbeitung unverzüglich einzustellen, solange keine ausreichende gesetzliche Grundlage für eine zivilrechtliche Nutzung der erhobenen Daten besteht. Die Firma teilt dem EDÖB innerhalb von 30 Tagen ab Erhalt seiner Empfehlung mit, ob sie sie annimmt oder ablehnt. Wird die Empfehlung abgelehnt oder nicht befolgt, kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht gemäss Art. 29 Abs. 4 DSG zum Entscheid vorlegen.