privacy4drm Datenschutzverträgliches und nutzungsfreundliches Digital Rights Management

Transkript

1 Datenschutzverträgliches und nutzungsfreundliches Digital Rights Management Studie im Auftrag des Bundesministeriums für Bildung und Forschung Fraunhofer-Institut für Digitale Medientechnologie (IDMT) Rüdiger Grimm Stefan Puchta Michael Müller Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Johann Bizer Jan Möller Institut für Medien- und Kommunikationswissenschaft der TU Ilmenau (IfMK) Andreas Will Anja Müller Stefan Jazdzejewski

2 Fraunhofer IDMT ULD TU Ilmenau

3 Dank Das Projektteam dankt Christoph Barniske, Markus Hansen, Jens Hasselbach und Patrick Aichroth für inhaltliche und organisatorische Unterstützung bei der Ausarbeitung der Studie, Kilian Bizer und dem Fraunhofer-Institut IDMT Ilmenau für die Gastfreundlichkeit bei den Projekttreffen, Frau Bernhardt vom BMBF, Frau Albrecht und Herrn Abele vom VDI/VDE für die professionelle Projektbetreuung. Ilmenau und Kiel im Mai 2005.

4 Fraunhofer IDMT ULD TU Ilmenau

5 Executive Summary Executive Summary Aufgabenstellung Die Angabe von persönlichen Daten im Geschäftsverkehr via Internet wird heutzutage als nahezu selbstverständlich angesehen, so auch bei DRM-Systemen. Aber ist sie das? Welche Daten müssen die Nutzer offenbaren? Finden dabei die betreffenden Rechtsnormen Berücksichtigung? Welche Besonderheiten bergen das Geschäft und die Güter, die über solche DRM-Systeme verkauft werden? Welche Restriktionen werden dem Nutzer auferlegt? All diese und noch mehr Fragen ergeben sich bei geschäftlichen Transaktionen mit DRM-Systemen. Sie werden in der vorliegenden Studie aus technischer, rechtlicher und ökonomischer Sicht behandelt. In dieser Studie wird ein Kriterienkatalog für nutzerfreundliche und datenschutzkonforme DRM-Systeme für den digitalen Bildungs- und Unterhaltungsmarkt entwickelt. Da der digitale Bildungsmarkt im Gegensatz zum digitalen Musikmarkt noch nicht etabliert ist, während die Mechanismen und Geschäftsmodelle des Unterhaltungsmarktes mit denen des Bildungsmarktes in vieler Hinsicht vergleichbar sind, werden beispielhaft die größten Downloadshops für digitale Musik mit ihren DRM-Systemen analysiert, sowie zusätzlich der Adobe Media Store. Methodisch werden hierzu nach der Darstellung des Untersuchungsrahmens (Kap. 2) in einem ersten Schritt der Datenfluss der ausgewählten DRM-Systeme analysiert und datenschutzrechtlich bewertet sowie die ökonomischen Rahmenbedingungen dieser Systeme untersucht (Kap. 3 bis 7). Die Ergebnisse aus diesen Analysen werden in Kapitel 8 zusammengefasst. Vor dem Hintergrund dieser Analyse werden in einem zweiten Schritt die datenschutzrechtlichen Postulate gewichtet und für ein nutzerfreundliches DRM ausgewertet (Kap. 9). Die Studie schließt mit Handlungsempfehlungen (Kap. 10). Das Problem beim Vertrieb digitaler Güter über das Internet ergibt sich daraus, dass digitalisierte Inhalte verlustfrei von ihren Medien gelöst und auf andere Medien übertragen werden können. Kopien sind billig und einfach herzustellen, sie sind vom Original nicht mehr zu unterscheiden. Aus dieser Eigenart ergibt sich, dass digitale Güter nicht mehr ohne weiteres als einmalige Produkte behandelt werden können und dass das Geschäft mit digitalen Gütern als einmaligen ( privaten ) Gütern gefährdet ist. Die klassische Aufgabe von DRM-Verfahren ist es, den Zugang zu digitalen Gütern so zu beschränken, wie es ihre Rechteinhaber wünschen. Das provoziert einen Konflikt zwischen der Sicherung der Urheberrechte und dem Anspruch auf eine freie Nutzung durch die Konsumenten. Die mit diesen Verfahren vorgenommenen Nutzungsbeschränkungen besitzen allesamt eine Besonderheit gegenüber denen bei physischen Gütern: die Nutzungssteuerung ist nicht nur auf das jeweilige Produkt bezogen, sondern auch an ihren Käufer gebunden. In der Regel geschieht das mittels persönlicher Identifikationsmechanismen. Da die Steuerungsmechanismen nicht vollständig zuverlässig funktionieren, kodieren einige DRM-Systeme als zusätzliche Schutzmaßnahme die persönlichen Informationen in die Dateien ein. Damit erfüllt die Personalisierung der Produkte außerdem die Aufgabe die Herkunft illegal verbreiteter Güter festzustellen. Diese detaillierte Kontrolle des Nutzerverhaltens bewirkt Akzeptanzprobleme auf Seiten der Nutzer. Des Weiteren sind Seite 5

6 Fraunhofer IDMT ULD TU Ilmenau die Verfahren zur Verwertung der Konsumentendaten als intransparent, schwer beherrschbar und darum auch als nutzerunfreundlich einzustufen. Dieses Problem kann nur mittels datenschutzverträglichen und nutzungsfreundlichen Technologien gelöst werden. Die vorliegende Studie Privacy4DRM behandelt diese Fragen für den Bereich des Digital Rights Managements und seiner geschäftlichen Anwendungen. Die Studie konzentriert sich bei der Analyse hauptsächlich auf eine Auswahl namhafter Systeme der Musikbranche (itunes, Musikload, Sony Connect), da in diesem Bereich die Technologie auf breiter Ebene am weitesten fortgeschritten ist. Zusätzlich wird das PotatoSystem als ein alternativer, nicht nur auf die Musikbranche ausgerichteter Ansatz betrachtet, sowie das Adobe Digital Media Store als Beispiel aus einer anderen Branche der E-Books. Die technische Analyse Die technische Analyse der DRM-Systeme untersucht die Funktionsweise der Systeme sowie die im Zuge ihrer Nutzung auftretenden Datenflüsse und Datenspuren in den einzelnen Phasen ihrer Geschäftsprozesse. Die Untersuchung der benötigten persönlichen Kundendaten ergibt, dass (fast) keines der Geschäftsmodelle anonymen Kauf digitaler Güter anbietet. So müssen Kunden neben den Informationen, die zur Bezahlung und zur Lieferung ( -Adresse, entspricht konventioneller Lieferadresse) erforderlich sind, wie bei jeder Kauftätigkeit im Internet Daten wie ihren Vor- und Nachnamen, ihre Anschrift und weitere Zugangsdaten dem Anbieter mitteilen. Eine Ausnahme bildet hier das PotatoSystem, welches anonymen bzw. pseudonymisierten Zugang zum System erlaubt. Weiterhin erheben die meisten Systeme zusätzliche personenbezogene Daten wie bereits gekaufte Produkte, geheime Frage und Antwort (bei vergessenem Passwort) bis hin zu Angaben (nicht-) gewünschter Newsletter-Abonnements. Zusätzlich zur normalen Erhebung von Nutzerdaten mit Hilfe von Eingabeformularen erheben fast alle Systeme auf versteckte Weise Informationen über die Nutzer und ihr Verhalten, z.b. durch die Speicherung von IP-Adressen, durch das Erheben von Browserinformationen und durch eine Ermittlung der Clickstreams, Cookies und Webbugs, die Aufschluss über Surfverhalten geben können. Diese Informationsrecherchen treten in allen untersuchten Systemen in verschiedenen Ausprägungen auf und sind zur Abwicklung der Kaufvorgänge immer notwendig, wenn ein Kunde diese Systeme nutzen will. Genaue Aussagen über die auf diesen Wegen ermittelten Daten und über ihre Auswertung können jedoch nicht gemacht werden, da die Geschäftsanbieter darüber keine Auskunft erteilen. Sie geben in der Regel an, dass sie die Daten nur anonymisiert weiter verwenden. Bei der Nutzung der Onlineshops hinterlässt der Nutzer unwillkürlich Datenspuren, sei es durch die Angabe seiner Daten oder durch die oben genannten verdeckten Erhebungen. In den gekauften Files sind aber, mit Ausnahme von itunes, keine unverschlüsselten persönlichen Angaben zum Nutzer enthalten. In wieweit durch die vorhandenen verschlüsselten Daten eine Identifizierung stattfinden kann, ist nicht bekannt und konnte durch unsere Analysen nicht ermittelt werden. Seite 6

7 Executive Summary Allen Systemen ist gemeinsam, dass der SSL-Standard zur Übertragung vertraulicher Informationen genutzt wird. Die rechtliche Analyse In dieser Studie werden Verkaufsplattformen für digitale Inhalte und DRM-Techniken datenschutzrechtlich analysiert, um in der Praxis auftretende Risiken für das Recht auf informationelle Selbstbestimmung der Kunden aufzudecken. Die Verkaufsplattformen weisen dabei E-Commerce-typische Datenschutzmängel auf. So werden grundsätzlich mehr personenbezogene Daten erhoben, als für die reine Vertragsabwicklung erforderlich sind. Einwilligungen der Kunden, die solche weitergehenden Datenverarbeitungen legitimieren können, sind auf Grund ihrer Ausgestaltung häufig unwirksam, da entweder deren Freiwilligkeit, eine hinreichende Information über den Inhalt der Einwilligung oder ein bewusster Handlungsakt des Betroffenen fehlt. Die Freiwilligkeit steht häufig in Frage, da die Nutzung der Verkaufsplattform an die Preisgabe nicht vertragsnotwendiger personenbezogener Daten geknüpft und ein Wechsel zu einem anderen Anbieter auf Grund der Kopplung von Hardware (MP3- Player), Software und Verkaufsplattform allenfalls unter Einschränkungen möglich ist. Die Zweckbindung der erhobenen Daten im Hinblick auf die Bildung und Nutzung von Konsum- und Nutzerprofilen ist oft intransparent. Einwilligungsfiktionen in den Allgemeinen Geschäftsbedingungen der Anbieter verleiten den Kunden zu unbewusster Preisgabe seiner Rechte. Die mit DRM-Techniken verbundene personenbezogene Datenverarbeitung kann als Vertragsbestandteil (Durchsetzung der Lizenzrechte) legitim sein, soweit sie sich auf die dafür erforderlichen Daten beschränkt, sich der Kunde über die Verarbeitung als Teil des Vertrages bewusst ist und eine strikte Zweckbindung der verarbeiteten personenbezogenen Daten sichergestellt wird. Allen drei Anforderungen werden die Betreiber der untersuchten DRM-Techniken allenfalls teilweise gerecht. Die Informationspolitik über die personenbezogene Datenverarbeitung zur Lizenzverwaltung und -durchsetzung ist sehr dürftig, es entsteht teilweise der Eindruck, dass Verarbeitungen zu diesem Zweck nicht bekannt werden sollen. Die Nutzung solcher Daten zu anderen Zwecken, beispielsweise zum Marketing und zur Kundenbindung, dürfte von besonderem Interesse für die Unternehmen sein. Sie stellt gleichzeitig aber ein beträchtliches Risiko für die informationelle Selbstbestimmung der Kunden dar. Der Umfang der für DRM-Techniken erhobenen und genutzten personenbezogenen Daten ist maßgeblich von der technischen Gestaltung der Systeme abhängig. Deren Hersteller berücksichtigen das datenschutzrechtlich geforderte Prinzip datensparsamer Technikgestaltung und die europarechtliche Vorgabe zur Implementation technischorganisatorischer Maßnahmen des Datenschutzes bereits im Designprozess von Technik (z.b. durch die Einbindung von Anonymisierungs- und Pseudonymisierungskonzepten) bisher jedoch nicht. Hier besteht erheblicher Nachholbedarf, wenn ein datenschutzgerechter Einsatz von DRM-Techniken in Zukunft möglich sein soll. Seite 7

8 Fraunhofer IDMT ULD TU Ilmenau Die ökonomische Analyse Ausgehend von den Fragen, inwieweit DRM-Systeme nutzenstiftend und/oder kostensparend wirken, wird in einer ökonomischen Funktionsanalyse geklärt, wie die Funktionen Suchen und Begutachten, Vertragsschluss sowie Tausch durch die untersuchten Downloadportale unterstützt werden. Eine Anbieteranalyse klärt die zugrundeliegenden Geschäftsstrategien und Geschäftsmodelle. Die folgende Transaktionskostenanalyse gibt einen vertiefenden Einblick in die Effizienz der Transaktionsabwicklung. Schließlich werden die Ergebnisse der rechtlichen Analyse unter ökonomischen Gesichtspunkten kritisch diskutiert. Die Analysen ergeben, dass bei zahlreichen Unterschieden im Detail alle untersuchten Downloadplattformen dem traditionellen Geschäftsmodell der Offline- Welt folgen und Musikstücke gegen Bezahlung anbieten. Verbesserungsmöglichkeiten im Hinblick auf Effektivität und Effizienz der Transaktionsabwicklung können bei allen Plattformen gefunden werden. Weitergehende Gestaltungsoptionen des Onlinevertriebs von innovativen Erlösquellen bis hin zu einer Abkehr von der Vorstellung, das Datenobjekt sei das ökonomische Gut bleiben ungenutzt. Mission und Handlungsempfehlungen Die Analyse der DRM-Systeme zeigt, dass die derzeit auf dem Markt vorhandenen Systeme die Kriterien für eine nutzerfreundliche und datensparsame Umsetzung nicht erfüllen. Die grundlegende, anfangs genannte Problematik digitaler Güter der Konflikt zwischen der Wahrung der Rechte der Eigentümer durch Nutzungseinschränkung einerseits und den Nutzungsinteressen der Konsumenten andererseits wird von keinem dieser Systeme gelöst. Die Ursachen für die mangelhafte Umsetzung liegen im Modell des klassischen DRM begründet, welches zu einem Interessenkonflikt zwischen Nutzern und Providern, einer falschen Lösungsstrategie für den Interessenkonflikt, einer (daraus resultierenden) Kriminalisierung der Nutzer sowie unter anderem zu einem Zielkonflikt der Stärke der Mechanismen führt. Gefragt ist an dieser Stelle eine innovative Technologiepolitik. Sie muss einerseits transparent sein, sowohl hinsichtlich des DRM-Modells, als auch in Bezug auf die Verarbeitung der Nutzerdaten. Andererseits muss sie eine faire Nutzung für den Konsumenten bei gleichzeitiger Wahrung der Urheberrechte ermöglichen. Somit gewinnt die Anwendung nutzer- und datenschutzfreundlicher DRM-Systeme eine besondere Bedeutung. Ein weiterer konzeptioneller Mangel der bestehenden DRM-Systeme liegt darin, dass sie das Datenobjekt und nicht den Nutzer in den Mittelpunkt ihrer Umsetzungen stellen. Als Vorteile aus einer Orientierung der Anbieter und ihrer Geschäftssysteme auf den Nutzer ergeben sich ein größeres Vertrauen der Nutzer in die DRM-Systeme, was wiederum transaktionskostensenkend wirkt, einen Mehrwert bringt und somit letztendlich Nachfrage nach digitalen Gütern schafft. Seite 8

9 Executive Summary Die Ergebnisse der Studie sind durchaus auf andere Medienprodukte und deren Märkte anwendbar, wie Grafik (Bild), Video (Bewegtbild, Film) und Text. Als innovative Themenfelder zur weiteren Bearbeitung empfiehlt die Studie Infrastrukturen und Verteilungsprotokolle, Verteilungsmodelle für Bildungsgüter, ein ökonomisches Studium der Verteilungsmodelle, Risikomanagement, Pseudonymitätskonzepte und Datenschutzsiegel. Seite 9

10 Fraunhofer IDMT ULD TU Ilmenau Inhaltsverzeichnis 1 Einführung Herausforderung der Wissensgesellschaft durch die Digitalisierung Das Digital Rights Dilemma Datenschutz und Urheberrecht im E-Commerce Ökonomische Rahmenbedingungen 23 2 Methode der Studie Analyse konkreter DRM-Systeme nach Recht/Ökonomie/Technik-Kriterien Produktliste Allgemeine Systembeschreibung Technische Kriterien zur Beschreibung der DRM-Systeme Allgemeine Datenspuren Datenfluss Rechtliche Kriterien Einführung: Zur Methodik datenschutzrechtlicher Postulate Grundprinzipien des Datenschutzes Vorgehensweise Datenverarbeitungen, die zum Abschluss und zur Abwicklung des Grundgeschäfts dienen (z.b. Erwerb von Inhalten) Datenverarbeitungen, die der Überprüfung der Berechtigung dienen, Inhalte in bestimmter Form zu verarbeiten oder zu nutzen Sonstige weitere Funktionalitäten Verborgene Schnittstellen und Verkettung von Funktionsdaten Ökonomische Kriterien Funktionsanalyse Anbieteranalyse Transaktionskostenanalyse Ökonomisch-rechtliche Analyse 51 3 Bewertende Produktanalyse Apple itunes Überblick Technikanalyse Prozessmodell Datenspuren Datenfluss Rechtsanalyse Personenbezogene Datenverarbeitung vor Vertragsschluss Datenverarbeitung zur Rechteüberprüfung bei der Nutzung Datenverarbeitung für andere Zwecke Datenverarbeitung im Rahmen verborgener Schnittstellen und Verkettung verschiedener Funktionen Ökonomische Analyse Funktionsanalyse Anbieteranalyse Transaktionskostenanalyse von itunes Ökonomisch-rechtliche Analyse 79 Seite 10

11 Inhaltsverzeichnis 4 Bewertende Produktanalyse T-Online Musicload & Microsoft Windows Media Rights Manager Überblick Technikanalyse Prozessmodell Datenspuren Datenfluss Rechtsanalyse Datenverarbeitung vor Vertragsschluss Datenverarbeitung bei Vertragsschluss Datenverarbeitung bei Rechteüberprüfung zur Nutzung Datenverarbeitung für andere Zwecke Datenverarbeitung durch verborgene Schnittstellen und Verkettung verschiedener Funktionen Ökonomische Analyse Funktionsanalyse Anbieteranalyse Transaktionskostenanalyse von Musicload Ökonomisch-rechtliche Analyse Anbieteranalyse Microsoft Transaktionskostenanalyse des WMRM Bewertende Produktanalyse Sony Connect Europe Überblick Technikanalyse Prozessmodell Datenspuren Datenfluss Rechtsanalyse Datenverarbeitung vor Vertragsschluss Datenverarbeitung bei Vertragsschluss Datenverarbeitung bei Rechteüberprüfung zur Nutzung Datenverarbeitung für andere Zwecke Datenverarbeitung durch verborgene Schnittstellen und Verkettung verschiedener Funktionen Ökonomische Analyse Funktionsanalyse Anbieteranalyse Transaktionskostenanalyse von Sony Connect Rechtlich-ökonomische Analyse Bewertende Produktanalyse Bevision & PotatoSystem Überblick Technikanalyse Prozessmodell Datenspuren Datenfluss Rechtsanalyse Datenverarbeitung vor Vertragsschluss Datenverarbeitung bei Vertragsschluss Datenverarbeitung bei Rechteüberprüfung zur Nutzung Datenverarbeitung für andere Zwecke Datenverarbeitung durch verborgene Schnittstellen und Verkettung verschiedener Funktionen 145 Seite 11

12 Fraunhofer IDMT ULD TU Ilmenau 6.4 Ökonomische Analyse Funktionsanalyse Anbieteranalyse Transaktionskostenanalyse von Bevision Rechtlich-ökonomische Analyse Bewertende Produktanalyse Adobe Media Store Überblick Technikanalyse Prozessmodell Datenspuren Datenfluss Rechtsanalyse Datenverarbeitung vor Vertragsschluss Datenverarbeitung bei Vertragsschluss Datenverarbeitung bei Rechteüberprüfung zur Nutzung Datenverarbeitung für andere Zwecke Datenverarbeitung durch verborgene Schnittstellen und Verkettung verschiedener Funktionen Ökonomische Analyse Funktionsanalyse Anbieteranalyse Ökonomisch-rechtliche Analyse Übersicht der Ergebnisse Tabelle mit den Ergebnissen der technischen Analyse Zusammenfassung Recht Zulässigkeit Erforderlichkeit Zweckbindung Transparenz Qualität der Daten Sicherheit der Daten Zusammenfassung der Ergebnisse der ökonomischen Funktionsanalyse Suchen und Informieren Registrieren Bezahlen Bewerten Personalisieren Sortiment Speichern & Download Nutzung technisch sicherstellen Präsentieren Inhalte nutzen Erkenntnisse Mission Innovation Vorteile aus Kundenorientierung Warum es bisher nicht ging Nutzerorientiertes DRM 199 Seite 12

13 Inhaltsverzeichnis 10 Handlungsempfehlungen Bedeutung von DRM für die Nutzung digitaler Bildungsgüter und von Forschungsergebnissen Innovative Themenfelder Abkürzungsverzeichnis Literaturverzeichnis Abbildungsverzeichnis Anhang Screenshots itunes Screenshots Musicload Screenshots Sony Connect Screenshots Bevision & PotatoSystem Screenshots Adobe Musicload Zahlen und Fakten Musicload Zahlen und Fakten Die Welt digitaler Musik in Zahlen Apple itunes, aktuelle Downloadzahlen Tabelle mit den Ergebnissen der ökonomischen Analyse 267 Seite 13

14 Methode der Studie 1 Einführung 1.1 Herausforderung der Wissensgesellschaft durch die Digitalisierung Die Digitalisierung von Produkten geistigen Eigentums hat große innovative Schubkraft. Einerseits bedroht sie die etablierten Geschäftsmodelle der Medienindustrie, in erster Linie der Musik- und Filmindustrie. Andererseits schafft sie neue Zugangswege und damit innovative Geschäftsmöglichkeiten. Das zeigen die (allerdings meist illegalen) P2P- Netzwerke (KaZaa, u.a.), die (zunehmend kommerziell angebotenen) Downloadshops (itunes, MusicLoad u.v.a.), vor allem aber auch die Informationsportale des öffentlichen Lebens für Bildung (z.b. [DRM-54]) und Politik (z.b. [DRM-55] u.v.a.). Erste kommerzielle Informationsanbieter außerhalb der traditionellen Verlage wie Subito oder die Bertelslmann-Tochter Arvato nehmen ihre Dienste auf. Im Bildungssektor gibt es einen steigenden Bedarf nach der Verfügbarkeit von Ergebnissen der Wissenschaft und Forschung sowie von Lehrmaterial. Zum Beispiel identifizierte der Kongress Messe Campus Innovation in Hamburg am bereits 2300 E-Learning Produkte. Allerdings gab es Probleme mit der Finanzierung für den laufenden Betrieb und für die Weiterentwicklung (vgl. [DRM-56]). Zunehmend bieten Hochschulbibliotheken Online-Zugänge zu wissenschaftlichen Zeitungen an, entweder auf den internen Zugriff über das Intranet der Hochschule beschränkt, oder mit einem umständlichen Abo-Zugang über Passwort. In der sogenannten Berliner Erklärung zur Nutzung des Internets für wissenschaftliche Veröffentlichungen, die in einer Reihe ähnlicher internationaler Initiativen (Budapest, ECHO, Bethesda) am von allen deutschen Wissenschaftseinrichtungen unterzeichnet wurde, fordern die Verantwortlichen, bei der Nutzung des Internets den Zugang zu den Veröffentlichungen der Wissenschaft in den Vordergrund zu stellen und formulieren darin einen Verhaltenskodex (vgl. [DRM-57]). Digitale Vertriebsformen könnten hier in großem Stil zum Einsatz kommen, wenn nur der Schutz des geistigen Eigentums mit dem Anspruch der Verfügbarkeit in Einklang wäre. Das ist aber nicht der Fall. Dem Wunsch nach der leichten Verfügbarkeit, sowohl räumlich, als auch zeitlich sowie auf den verschiedensten Medien, steht der berechtigte Anspruch auf Nutzungsvergütung gegenüber. Einfaches Herunterladen mit anschließendem Kopieren und Weitergeben entzieht dem Urheber seine ökonomische Grundlage. Blanke Kopierschutzmechanismen auf der anderen Seite beschränken die Verbraucher in ihren Nutzungsrechten, abgesehen davon, dass die Mechanismen schwer durchsetzbar und unhandlich sind. Kuhlen (vgl. [DRM-58]) weist darauf hin, dass das einfache Copyright die gegenwärtige Diskussion um das Urheberrecht dominiert und dabei die freie Zugänglichkeit beeinträchtigt: Die ursprüngliche Balance zwischen öffentlichem Interesse an der freien Zugänglichkeit zu Wissen und Information und den Schutzinteressen der Urheber/Verwerter hat sich eindeutig zugunsten einer Privatisierung und Kommerzialisierung mit der Konsequenz der Verknappung von Wissen und Information verschoben. [DRM-58]. Unter dem Begriff Creative Commons formierte sich eine Seite 14

15 Methode der Studie Initiative um Kuhlen/Brühning (vgl. [DRM-59]) mit dem Ziel dem weltweiten Trend, das Copyright und im Gefolge auch das zentraleuropäische Urheberrecht in erster Linie als Handelsrecht zu verstehen, wieder Einhalt zu gebieten. Die Initiative versteht sich als Versuch, die Rechte an Wissen und Information wieder an den Autor/den Urheber zurückzubinden [DRM-59]. Hier ist eine innovative IuK-Technologie gefragt, die allen Ansprüchen gerecht wird: Einerseits die Rechte der Urheber zu schützen, sowohl in ihrer Urheberschaft anerkannt zu werden, als auch aus ihrem Eigentum ökonomischen Nutzen ziehen zu können; andererseits den Zugang der Öffentlichkeit zu den Ergebnissen der Wissenschaft und Forschung zu fairen Bedingungen sicherzustellen. Diese Technologie muss sicher, nutzerfreundlich, datenschutzfreundlich, sowie interoperabel auf vielen Plattformen, Servern und Endgeräten sein. Von einem solchen Zustand sind wir aber zurzeit weit entfernt. 1 Zahlreiche Veranstaltungen thematisieren die fehlende Balance zwischen Schutz der Urheber und der Verfügbarkeit ihrer Produkte, um nur drei Beispiele zu nennen: - Konferenz zur Zukunft der Globalen Güter in der Wissensgesellschaft, Heinrich Böll Stiftung, Berlin. - Neue Medien in der Bildung, Förderprogramm des BMBF, , darunter E- Learning: Beherrschbarkeit und Sicherheit. Workshop am Juli 2003 an der TU Ilmenau. - DRM Conferences, IHK, Berlin, Chair: Niels Rump et al., 2003, 2004, Bei der Rückschau auf das Förderprogramm Neue Medien in der Bildung des BMBF, , in einem Workshop am Juli 2003 an der TU Ilmenau mit besonderem Blick auf die Beherrschbarkeit und Sicherheit von E-Learning wurden beispielhaft zwölf E-Learning-Projekte vorgestellt, darunter war nur eines, das sich mit der Absicherung zu einer Kommerzialisierung für die Weiterbildung befasste (vgl. [DRM-60]). Der gängige Zugang zu E-Learning-Produkten, zu wissenschaftlichen Zeitschriften, Büchern oder einzelnen Artikeln ist heute entweder frei, oder einfach durch Passwort bzw. durch Beschränkung auf ein Intranet geschützt. Von einem entwickelten Markt der digitalen Bildungsindustrie kann heute noch keineswegs die Rede sein. Das ist ganz anders im 1 Nach Meinung von P. Samuelson, University of California at Berkeley verhindert mangelnde Interoperabilität von DRM-Techniken deren Nutzerakzeptanz und damit deren Verbreitung. Die fehlende Möglichkeit der Übertragung von Rechten auf andere Systeme und andere Anwender sei auf das Fehlen einer einheitlichen Rechte-Definitionssprache und von Standards für das Trustmodell zurückzuführen [vg. DRM-62]. Auch der Einsatz von DRM zum Schutz von Firmeninformationen (sog. Enterprise-DRM) leidet an fehlender Interoperabilität. Eine einheitliche Rechtesprache würde z.b. auch ein übergreifend funktionales DRM (z.b. zwischen Hersteller und Lieferant) auch mit unterschiedlichen Softwarelösungen ermöglichen. An Abhilfe wird seitens des Coral Consortiums und des Digital Media Projects gearbeitet [vgl. DRM-63]. DRM-Technik wird zunehmend auch im Rundfunk- und Fernsehbereich relevant. Auch hier drängen Inhalteanbieter auf einheitliche Standards. Neben bestehenden Standards für Settopboxen und Verschlüsselung fehlt es auch hier bisher an einer einheitlichen Rechtesprache. [vg. DRM-64] Seite 15

16 Fraunhofer IDMT ULD TU Ilmenau Bereich der Musikindustrie, da hier der Digitalisierungsschock über die P2P-Netzwerke Napster, Gnutella, KaZaa, Freenet usw. bereits starke ökonomische Erschütterungen ausgelöst hat. Das BMBF fördert mit großem Aufwand die Weiterentwicklung von IuK-Technologien. Daraus folgt auch ein Bedarf nach Studien, die die Entwicklung neuer Dienstleistungen unterstützen und deren Marktdurchdringung begleiten. In diesem Kontext gewinnen Fragestellungen nach datenschutzverträglichen und nutzungsfreundlichen Technologien an Bedeutung. Diese Studie stellt sich dieser Aufgabe im Bereich des Digitalen Rechtemanagement und ihrer geschäftsmäßigen Anwendungen. Die Musikindustrie ist besonders entwickelt. Aus diesem Grunde konzentriert sich diese Studie in der Einzelanalyse auf die Dienstleistungen der Musikindustrie. Eine Technologie wie das PotatoSystem aber ist selbstverständlich nicht nur auf digitale Musik beschränkt, sondern zielt bewusst auch auf den Markt der Bildungsprodukte. Darüber hinaus ist auch der E-Books-Markt mit Adobe Media Store Gegenstand der Untersuchung dieser Studie. Ziel der Studie ist die Entwicklung eines Kriterienkataloges für nutzerfreundliche und datenschutzkonforme DRM-Systeme für den digitalen Bildungs- und Unterhaltungsmarkt. Da der digitale Bildungsmarkt im Gegensatz zum digitalen Musikmarkt noch nicht etabliert ist, während die Mechanismen und Geschäftsmodelle des Unterhaltungsmarktes mit denen des Bildungsmarktes in vieler Hinsicht vergleichbar sind, werden beispielhaft die größten Downloadshops für digitale Musik mit ihren DRM- Systemen analysiert, sowie zusätzlich der Adobe Media Store. Methodisch werden hierzu nach der Darstellung des Untersuchungsrahmens (Kap. 2) in einem ersten Schritt der Datenfluss der ausgewählten DRM-Systeme analysiert und datenschutzrechtlich bewertet sowie die ökonomischen Rahmenbedingungen dieser Systeme untersucht (Kap. 3 bis 7). Diese Einzelanaylsen in Kap. 3-7 können vom Leser, der in erster Linie am Ergebnis interessiert ist, übersprungen werden, da die Ergebnisse aus diesen Analysen in Kapitel 8 ausgiebig zusammengefasst werden. Vor dem Hintergrund dieser Analyse werden in einem zweiten Schritt die datenschutzrechtlichen Postulate gewichtet und für ein nutzerfreundliches DRM ausgewertet (Kap. 9). Die Studie schließt mit Handlungsempfehlungen. 1.2 Das Digital Rights Dilemma Digitale Güter haben eine grundlegende Eigenschaft physischer Güter verloren: Sie sind prinzipiell zu verschwindend geringen Kosten jederzeit und an jeden Ort übertragbar und kopierbar. Um das Geschäft zu wahren, bemühen sich die Rechteinhaber, den Zugang zu beschränken. Unter DRM versteht man Verfahren, die den Zugang zu digitalen Gütern im Sinne der Rechteinhaber steuern [vgl. DRM-1]. Kopierschutzfunktionen in den Nutzerendgeräten bilden die einfachste Form von DRM, sie sind allerdings in der Regel leicht zu umgehen. Seite 16

17 Methode der Studie Abbildung 1-1: Superdistribution nach OMA 2.0 Das Grundprinzip der programmierten DRM-Steuerung in den Nutzerendgeräten ist im neuen Industriestandard des Standardisierungsgremiums Open Mobile Alliance (OMA) Version 2.0 formuliert: Ein digitaler Inhalt besteht aus zwei Objekten: das Inhaltsobjekt enthält den eigentlichen Content, liegt aber nur verschlüsselt vor. Der Schlüssel ist in dem zugehörigen Rechteobjekt verborgen, zu dem ein berechtigter Nutzer individuellen Zugang hat. Nutzer haben keinen Zugang zu den Rechteobjekten anderer Nutzer. Wenn sie also durch Kopie und Weitergabe ein Inhaltsobjekt erhalten, müssen sie sich vor dem Konsum vom Rechteinhaber ein auf sie passendes Rechteobjekt besorgen. Auf diesem Wege kann der Rechteinhaber die Bezahlung der Kopie durchsetzen. Dieses Verfahren zur legalen Weitergabe digitaler Güter von Nutzern an andere Nutzer nennt man Superdistribution. Sie wird durch Kopierschutzmechanismen durchgesetzt, die darauf beruhen, dass digitale Inhalte mit Schlüsseln versehen sind, die auf individuelle Hardware, zum Beispiel auf tragbare Konsumgeräte, so genannte Portable Devices, zugeschnitten sind. Diese Form des Kopierschutzes bzw. die programmgesteuerte technische Durchsetzung von Rechten beruht auf Mechanismen, die in den Kundengeräten wirken. Ein Rechteinhaber formuliert die Rechte an seinem Produkt, etwa vollständiges Kopierverbot oder Kopierverbot bis Weihnachten 2005, übersetzt sie in eine digitale Rechtesprache und kodiert sie in das Produkt bzw. das zugehörige Rechteobjekt ein. Ein Mechanismus zur Durchsetzung der Rechte liest sie aus und führt vor Abspielen des Produktes das einkodierte Recht aus. Das Interesse an der Durchsetzung der Rechte haben die Inhaltsanbieter, die Mechanismen zu ihrer Durchsetzung liegen aber bei den Kunden. In diesem Widerspruch sind bereits das Motiv und die Methode angelegt, die Mechanismen zur Durchsetzung der Rechte zu unterlaufen. Kunden streben danach, ihre Geräte so umzuprogrammieren, dass sie in der freien Nutzung der von ihnen erworbenen Produkte nicht eingeschränkt werden. Das ist zwar in Hardware kodierten Mechanismen der Portables nicht ohne weiteres möglich, sehr wohl aber in PCs und Laptops. Musik und Texte werden überall konsumiert. Seite 17

18 Fraunhofer IDMT ULD TU Ilmenau Es gibt grundsätzlich vier Typen von Verfahren, die illegale Weitergabe von digitalen Produkten zu unterbinden bzw. die legale Nutzung zu fördern. Erstens, die technische Durchsetzung: der harte Kopierschutz und als Erweiterung die programmgesteuerte Auswertung von Rechteregeln in den Kundenendgeräten. Ein Beispiel ist der Windows Media Rights Manager [vgl. Abbildung ]. Zweitens, die technische Erkennung von illegalen Kopien: Der Name eines legalen Nutzers oder ein verfolgbares Pseudonym ist als digitales Wasserzeichen oder als Signatur an das digitale Produkt angeheftet. Das Produkt kann zwar kopiert werden, wenn es aber in illegalen File-Sharing-Umgebungen auftaucht, kann die Quelle der illegalen Weitergabe festgestellt werden. Ein Beispiel ist das Light Weight Digital Rights Management System (LWDRM) von den Fraunhofer-Instituten IIS und IDMT [vgl. DRM-2 bis DRM-4]. Ein anderes Beispiel ist M2S Music to Share [vgl. DRM-5]. Einen weiteren Ansatz liefert FairDRM, bei dem erst ab einer konfigurierbaren Anzahl angefertigter Kopien eine Aufdeckung der Identität des ursprünglichen Kunden technisch ermöglicht wird [vgl. DRM-6]. Drittens, organisatorische Anreize zum Wohlverhalten bei gleichzeitigem Verzicht auf Verbote: Ein Beispiel dazu bildet das PotatoSystem [vgl. Bevision-2], das die erfolgreiche Weitervermittlung bezahlter Inhalte mit Provisionen belohnt. Viertens ist die Pauschalvergütung eine Möglichkeit, den Rechteinhabern ihren finanziellen Anteil zukommen zu lassen: Sie wird durch eine pauschale Abgabe auf kopierfähige Geräte wie CD-Rohlinge und CD-Laufwerke sowie durch das Scannen von Radio- und Fernsehsendungen und der sich daraus ergebenden Verteilung von Gebühren an die Rechteinhaber zu Lasten der Sender realisiert. Die Innenverteilung der Gebühren unter den Rechteinhabern ist dabei ein Problem, das man durch genaues Auswerten von Sendungen zwar steuern kann, nicht aber durch pauschale Abgaben auf Geräte. Beispielsweise setzt die Firma MusicTrace, Erlangen, gegr. 2004, solche speziellen Audio-Wasserzeichentechniken ein [vgl. DRM-7; DRM-8]. Die Pauschalvergütung ist datensparsam hinsichtlich personenbezogener Daten und nutzerfreundlich für die Endkonsumenten, da sie sich um nichts weiter zu kümmern brauchen. Allerdings ist völlig ungeklärt, wie die Einnahmen gerecht unter den Rechteinhabern aufgeteilt werden könnten. Die Pauschalvergütung spielt deshalb in der Praxis für eine Analyse von DRM-Systemen, die sich auf Individualabrechnung beziehen, keine Rolle. Anreizsysteme sind im Entstehen und werden in Zukunft an Bedeutung gewinnen, spielen heute aber in der Praxis eine untergeordnete Rolle. Die am weitesten verbreiteten DRM-Verfahren gehören zur ersten Kategorie. Eine Besonderheit gegenüber den physischen Produkten ist dabei jedoch, dass die Nutzungsbeschränkung digitaler Güter nicht an das Produkt gebunden ist, sondern an den Käufer. Über persönliche Identifikationsmechanismen weisen sich Käufer gegenüber ihrem Eigentum, nämlich gegenüber den von ihnen erworbenen digitalen Gütern, aus, damit sich diese ihrem Zugang öffnen. Und, um die Brisanz noch zu erhöhen: Einige DRM-Systeme nutzen gleichzeitig als second line of defence Seite 18

19 Methode der Studie Methoden der zweiten Kategorie: Persönliche Identifikationsmerkmale sind in die Produkte einkodiert, damit die Herkunft illegal genutzter Güter erkannt werden kann. Diese Verfahren sind intransparent, schwer zu beherrschen und müssen daher als nutzerunfreundlich bezeichnet werden. In diesem Dilemma unterwerfen sich Kunden zu einem Teil zähneknirschend den unhandlichen und undurchschaubaren Systemen, teilweise umgehen sie die Mechanismen und wenden sich P2P-Netzwerken zu und teilweise entziehen sie sich dem Markt und verzichten ganz auf den Konsum digitaler Produkte. Besonders die Kriminalisierung der P2P-Nutzung und die Verfolgung von Kunden anhand ihres Nutzungsverhaltens stellen eine Bedrohung auch der redlichen Nutzer dar. Das mangelnde Vertrauen der Kunden behindert das Entstehen eines großen Marktes für digitale Güter. Es ist daher an der Zeit, Perspektiven für eine marktorientierte, datenschutzkonforme und nutzerfreundliche Technik für den Vertrieb und den Konsum digitaler Güter aufzuzeigen. 1.3 Datenschutz und Urheberrecht im E-Commerce Der Datenschutz gehört in Deutschland zu den grundlegenden Akzeptanzkriterien. Als Vertrauensfaktor bestimmt er die Entwicklung des E-Commerce wesentlich mit [vgl. DRM-9]. Diese Erkenntnis beruht auf validen demoskopischen Erkenntnissen. Nach einer 2001 in Deutschland durchgeführten Umfrage wünschen 53 % der Befragten, dass dem Datenschutz künftig mehr Bedeutung zukommen soll [vgl. DRM-10]. Bemerkenswert ist, dass diese Haltung alles andere als eine deutsche Besonderheit darstellt. Nach einer Umfrage unter US-Bürgern vom August 2000 zeigten sich in den USA bspw. 84 % der Einwohner besorgt, wenn Geschäftsleute oder Unbekannte Informationen über sie oder ihre Familie bekommen [vgl. DRM-11]. Eine Länder vergleichende Untersuchung aus dem Jahr 1999 zeigt, dass die deutschen Umfragewerte einen internationalen Trend widerspiegeln [vgl. DRM-11]. Während die Vertrauenswürdigkeit der Banken in Sachen Datenschutz in den USA (77 %) und Deutschland (70 %) überwiegend positiv bewertet wird, schneidet der Versandhandel in der Bewertung des Datenschutzes deutlich schlechter ab: Nur 45 % der in den USA Befragten sowie 42 % in Großbritannien und Deutschland kommen zu einer positiven Bewertung dieser Anbieter. Geradezu vernichtend lautet das Urteil der Nutzer und Verbraucher über die kommerziellen Internetanbieter: Nur 21 % in den USA, 13 % in Großbritannien und 10 % in Deutschland brachten nach dieser Untersuchung den kommerziellen Internetanbietern in Sachen Datenschutz Vertrauen entgegen. Die Zustimmung zum und die Erwartung an den Datenschutz ist vor allem deswegen von Bedeutung, weil ein deutlicher Zusammenhang zwischen der Einschätzung des Datenschutzes einerseits und dem Kaufverhalten andererseits nachgewiesen werden kann. Datenschutz ist ein Akzeptanzfaktor für die Entwicklung von Märkten. Bereits die IBM-Studie aus dem Jahr 1999 belegt einen Zusammenhang zwischen dem Vertrauen der Kunden in den Datenschutz eines Anbieters und seinem Kaufverhalten [vgl. DRM- 12]. In der Offline-Welt zeigte sich, dass 54 % in den USA, 32 % in Großbritannien und Seite 19

20 Fraunhofer IDMT ULD TU Ilmenau 35 % in Deutschland wegen fehlender Sicherheit über die Verwendung ihrer Daten auf die Nutzung oder den Kauf eines Angebots verzichteten. Bei den kommerziellen Internetanbietern zeigte sich eine noch stärkere Angleichung im internationalen Vergleich, nämlich 57 % in USA, 41 % in Großbritannien und 56% in Deutschland [vgl. DRM-12]. Dass dieses Ergebnis keine Eintagsfliege ist, beweist eine Umfrage vom Oktober 2000 der Mannheimer Forschungsgruppe Wahlen im Auftrag des Bundesverbandes der Banken. Danach erklärten 62 % der Internetnutzer in Deutschland, sie hätten im Internet noch nicht online bestellt oder gekauft, weil ihrer Meinung nach der Datenschutz unzureichend gewährleistet sei. Zu vergleichbaren Ergebnissen kommt die Opaschowski-Studie für das Jahr 2001: Nur 23 % gehen davon aus, dass ihre Daten bei der Nutzung im Internet hinreichend geschützt sind und halten eine Nutzung für unbedenklich. Hingegen gaben 46 % an, wegen Mängeln bei Datenschutz und Datensicherheit das Internet nicht zu nutzen. 26 % sahen sich nicht in der Lage, zu dieser Frage Stellung zu beziehen ( weiß nicht ). In Übereinstimmung mit diesen Werten wird im 7. Faktenbericht der Bundesregierung Monitoring der Informationswirtschaft vom März 2004 der Datenschutz zu den wichtigsten Barrieren für die Entwicklung des E-Commerce im B2C-Bereich gezählt [vgl. DRM-13]. In Deutschland hat diese Entwicklung bereits frühzeitig zu legislativen Maßnahmen geführt, um das Vertrauen der Onlinenutzer zu stärken. So wurde 1997 mit der Verabschiedung des Teledienstedatenschutzgesetzes (TDDSG) durch den Bund und die praktisch gleichlautenden Datenschutzregelungen im Mediendienste-Staatsvertrag (MDStV) durch die Länder ein Regelungsrahmen geschaffen, um die Akzeptanz der Nutzer für die damals noch neuen Online-Dienste zu gewinnen, aber auch um den Diensteanbietern Rechtssicherheit zu bieten. Neben einer Orientierung an den datenschutzrechtlichen Prinzipien der Zweckbindung und der Erforderlichkeit hat diese Gesetzgebung mit der Anforderung einer an den Prinzipien von Datensparsamkeit und Datenvermeidung ausgerichteten Gestaltung der Technik ein neues proaktives Steuerungsinstrument entwickelt und implementiert. Es zielt weniger auf eine nachträgliche Kontrolle, ob Datenschutzbestimmungen eingehalten worden sind, als vielmehr auf eine datenschutzkonforme Gestaltung an der Quelle der Risiken. Seiner Bedeutung angemessen wurde es im Jahr 2001 von der speziellen Gesetzgebung für Onlinedienste in das allgemeine Datenschutzrecht übertragen und damit in seiner Bedeutung für den Datenschutz aufgewertet [vgl. DRM-14]. Komplementär zu dem Regelungsprinzip einer proaktiven Technikgestaltung hat der Gesetzgeber 2001 mit der Regelung des 9 a BDSG den Weg für ein Datenschutzaudit geöffnet, welches allerdings mangels eines Ausführungsgesetzes des Bundes noch keine bundesweite Wirksamkeit entfalten kann. Lediglich in Schleswig-Holstein wird, um Beschaffungen der öffentlichen Stellen des Landes an den Zielen des Datenschutzes ausrichten zu können, ein Gütesiegel angeboten, welches mittlerweile über 20 mal verliehen worden ist, einen europäischen Innovationspreis verliehen bekommen und damit breite Aufmerksamkeit und Anerkennung gefunden hat [vgl. DRM-15]. Der Konflikt zwischen Urheberrecht und Datenschutz ist nicht erst durch das Angebot elektronischer Güter virulent geworden, sondern ist bereits bei der Verfügbarkeit von Kopiergeräten datenschutzfreundlich gelöst worden, ohne die finanziellen Interessen Seite 20

21 Methode der Studie der Urheber nachhaltig zu beeinträchtigen. Für Kopien jedweder Art (Kopiergeräte, Tonband, Kassetten, CDs u.a.) wird die Vergütung der Inhaber von Urheberrechten über eine Pauschalabgabe auf die betreffenden Geräte finanziert, die über Verwertungsgesellschaften an die jeweiligen Urheber ausgeschüttet werden [vgl. DRM- 16]. Dieses System geht auf eine Rechtsprechung des Bundesgerichtshofes (BGH) zurück, der 1964 eine urheberrechtliche Verpflichtung der Käufer von Tonbandgeräten abgelehnt hatte, beim Kauf ihren Personalausweis vorzulegen (BGH vom , GRUR 1965, 104). In einer weiteren Entscheidung lehnte es der BGH ab, den Betreiber eines Kopiergeschäfts zu verpflichten, die Kopiervorlagen der Kunden auf ihre Vereinbarkeit mit dem Urheberrecht zu überprüfen (BGH vom , GRUR 1984, 54). Mit der Verbreitung elektronischer Güter wurde die Diskussion über einen den wirtschaftlichen Verwertungsrechten angemessenen Schutz erneut angefacht, ohne dass der Konflikt jedoch gelöst worden wäre. Die Debatte wurde in Deutschland durch die in der sog. EG-Urheberrichtlinie 2001/29/EG vom 22. Mai 2001 geregelten technischen Schutzmaßnahmen und die mit ihnen verbundenen Informationen über die Wahrnehmung der geschützten Rechte, die wiederum selbst auf internationalem Vertragsrecht beruhen (Art 11 und 12 WCT; Art. 18 und 19 WPPT) 2, angestoßen. Ziel der Urheberrichtlinie ist es, einen EU-weiten harmonisierten Rechtsrahmen für technische Schutzmaßnahmen zu Gunsten von Urheberrechten zu schaffen. Deren Befürworter, die insbesondere im Bereich der Interessenvertreter der Urheber und der Rechtverwerter angesiedelt sind, betrachten die Regelungen der Urheberrichtlinie als notwendiges Werkzeug, um ihre Rechte und die damit verbundenen finanziellen Interessen auch bei der digitalen Verbreitung ihrer Werke wahren und kontrollieren zu können. Der sich abzeichnende Konflikt mit dem Datenschutz wird in dieser Richtlinie zumindest in Erwägungsgrund 59 angesprochen. Dort heißt es, diese Systeme seien je nach Auslegung in der Lage, gleichzeitig personenbezogene Daten über die individuelle Nutzung von Schutzgegenständen zu verarbeiten und Online-Aktivitäten nachzuvollziehen, wobei die technischen Funktionen dieser Vorrichtungen dem Schutz der Privatsphäre gemäß der Datenschutzrichtlinie 95/46/EG gerecht werden sollen. Nach Erwägungsgrund 60 soll diese Richtlinie den nationalen und gemeinschaftlich gewährten Datenschutz sogar unberührt lassen. Umgesetzt worden ist die EG-Richtlinie 2001/29/EG durch das Gesetz zur Regelung des Urheberrechts in der Informationsgesellschaft vom 10. September 2003 (BGBl. I S. 1774), insbesondere durch die 95 a ff. UrhG über technische Schutzmaßnahmen, deren Verletzung durch die Strafvorschrift des 108 b UrhG sanktioniert wird. Im Mittelpunkt der Debatte standen das Recht der Privatkopie sowie das System der Pauschalabgabe. In diesem Zusammenhang hatte sich insbesondere der Bundesrat für eine Vergütungspflicht von Privatkopien eingesetzt und gleichzeitig einen besonderen 2 WCT = WIPO (WIPO-Urheberrechtsvertrags) Copyright Treaty und WPPT = WIPO-Vertrags über Performances and Phonograms Treaty. Seite 21

22 Fraunhofer IDMT ULD TU Ilmenau ausreichenden Schutz der Nutzer vor Ausspähung personenbezogener Daten über die individuelle Nutzung von Werken und die Erstellung von Nutzerprofilen gefordert (BT- Drs. 15/38, 37). Nachhaltig an der Debatte beteiligt haben sich neben den Interessenvertretern der Urheber und der rechteverwertenden Industrie insbesondere die Verbände der Onlinewirtschaft. 3 Während die Rechteverwerter und Urheber den Verlust effektiver Rechtsdurchsetzungsmöglichkeiten beklagen, fürchten insbesondere die Online-Wirtschaft und die Internetzugangsanbieter einen Vertrauensverlust seitens der Kunden, rechtliche Risiken und damit weitere Kosten, wenn sie den Rechteinhabern bei der Verfolgung möglicher Rechtsverletzungen ihrer Kunden helfen müssen. Noch offen ist die Umsetzung der sogenannten Enforcement-Richtlinie 2004/48/EG vom 29. April 2004, die bis zum 19. April 2006 abgeschlossen sein soll. Innenpolitisch umstritten ist insbesondere die Umsetzung der in Art. 8 dieser Richtlinie geforderten Auskunftsrechte gegenüber Internetprovidern, um auf diese Weise die Inanspruchnahme digitaler Güter überwachen und kontrollieren zu können. Die Interessenvertreter der Urheber und insbesondere der Rechtverwerter fordern eine praktikable Umsetzung der Enforcement-Richtlinie. Im Hinblick auf den Auskunftsanspruch dürften angesichts zunehmender digitaler Piraterie mit erheblichen Schaden zu Lasten von Inhalteanbietern und Programmveranstaltern wie Software-, Film- und Musikwirtschaft sowie elektronischem Handel keine einseitigen Positionen zu Gunsten von Verbrauchern, Datenschutz oder digitalen Spediteuren (ISP) festgeschrieben werden [vgl. DRM-71]. Bei solchen Forderungen ist zu berücksichtigen, dass Datenschutz und Verbraucherschutz dem grundsätzlichen Einsatz von DRM-Systemen nicht entgegenstehen. Die Internationale Arbeitsgruppe für den Datenschutz in der Telekommunikation hatte bereits vor Verabschiedung der Richtlinie 2001/29/EG in einem gemeinsamen Standpunkt vom 4./5. Mai 2000 die Planer, Produzenten und Anbieter von Copyright-Management-Systemen aufgefordert [vgl. DRM-17], datensparsame Systeme zu entwickeln, zu produzieren und anzubieten [vgl. DRM-18]. Dabei wurde insbesondere auf die Forderung der Art. 29-Gruppe der Europäischen Union 4 Bezug genommen, auf eine unsichtbare und automatische Verarbeitung personenbezogener Daten im Internet durch Soft- und Hardware zu verzichten (Art. 29- Gruppe 1999) [vgl. DRM-19]. Zur deutschen Debatte um die Umsetzung der EG- Urheberrichtlinie hatte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder gefordert, dass technische Systeme zur digitalen Verwaltung digitaler Rechte (Digital Rights Management) in jedem Fall datenschutzfreundlich gestaltet werden müssen [vgl. DRM-20; DRM-21]. 3 Vgl. die diversen Stellungnahmen der verschiedenen Interessenverbände zum zweiten Korb der Urheberrechtsreform unter 4 In der Artikel 29-Gruppe sind die Datenschutzbeauftragten der Mitgliedstaaten der Europäischen Union vertreten. Seite 22

23 Methode der Studie Wenn heute den DRM-Anwendern effektive und rechtskonform arbeitende DRM- Systeme fehlen, obwohl die rechtlichen Anforderungen lange bekannt sind, erscheint es fragwürdig, die Folgen für die Rechteinhaber und -verwerter zu Lasten der Grundrechte heutiger Nutzer von Inhalten mildern zu wollen. Erst jüngst hat sich die Art. 29-Gruppe mit Besorgnis über die Beeinträchtigung des Datenschutzes durch die Nutzung von DRM-Systemen geäußert. Die Anwendung der Datenschutzgrundsätze auf die digitale Rechteverwaltung lassen erkennen, dass der Schutz des Einzelnen in der Offline-Welt und der Schutz des Einzelnen in der Online- Welt immer stärker auseinanderklaffe, besonders vor dem Hintergrund genereller Nachverfolgung und Profilerstellung. Die Datenschutzgruppe fordert die Entwicklung datenschutzgerechter technischer Instrumente und ganz allgemein die transparente und begrenzte Nutzung eindeutiger Kennungen, die dem Benutzer eine Wahlmöglichkeit zugestehen (Art. 29-Gruppe 2005) [vgl. DRM-22]. Im Einzelnen betont die Art. 29- Gruppe die beschränkenden Grundsätze der Notwendigkeit (Erforderlichkeit) und Anonymität, kritisiert die Verwendung eindeutiger Kennungen in Verbindung mit der Identität einer einzelnen Person, fordert eine gut sichtbare Information der Nutzer bevor er seine Daten bereitstellt oder gekennzeichnetes Material lädt und erinnert an den Grundsatz der Zweckbindung sowie der befristeten Speicherung personenbezogener Daten. Bis heute ist der Konflikt zwischen der technischen Durchsetzung von Urheberrechten einerseits und dem Interesse am Datenschutz andererseits nicht aufgelöst, sondern weiterhin virulent. Die Bedeutung, die die Nutzer dem Datenschutz beimessen, spiegelt sich darin, dass sich die Nutzer gegenüber DRM-Systemen ohne eine ausreichende Berücksichtigung des Datenschutzes reserviert verhalten. Allein eine einseitige Durchsetzung der Rechte der Urheber bzw. Verwerter wird den berechtigten Anliegen der Betroffenen auf die Gewährleistung ihrer informationellen Selbstbestimmung nicht gerecht. 1.4 Ökonomische Rahmenbedingungen Ein funktionierender Markt für digitale Güter bringt die Interessen zweier Akteursgruppen zum Ausgleich: die Interessen der Kunden (z.b. der Musikrezipienten) einerseits und der Produzenten der digitalen Güter (z.b. der Musikanbieter) andererseits. Ganz allgemein gesprochen, liegt das Interesse der Beteiligten darin, aus Markttransaktionen einen individuellen Vorteil zu ziehen: Transaktionen werden immer dann durchgeführt, wenn sie für alle beteiligten Akteure unter Abzug der anfallenden Kosten nutzenstiftend sind. Das in 1.2 skizzierte DRM-Dilemma birgt indes die Gefahr des Marktversagens. Mangelndes Vertrauen in technische DRM-Lösungen, hohe Transaktionskosten bei der Geschäftsabwicklung und kostengünstige Alternativen (P2P, herkömmliche CD/DVD) begrenzen die Nachfrage soweit, dass ein funktionierender Markt nicht entsteht. Allseitig nutzenstiftende Transaktionen kommen nicht zustande. Eine ökonomische Bewertung von DRM setzt daher voraus, sich zunächst grundlegende Motive und Interessen der Beteiligten vor Augen zu führen; hierzu wird beispielhaft der in den Kapiteln 3-7 näher zu analysierende Musikmarkt gewählt. Seite 23