Februar I. Freie Fahrt für die Virenpolizei? - Rechtliche Aspekte der Datenstromüberwachung

Transkript

1 WESTFÄLISCHE WILHELMS-UNIVERSITÄT Institut für Informations-, Telekommunikations- und Medienrecht (ITM) - Zivilrechtliche Abteilung - Prof. Dr. Thomas Hoeren Laura Dierking, LL.M. (Informationsrecht) Ass. jur. Sonja Eustergerling RA Noogie C. Kaufmann Master of Arts Ass. jur. Jan K. Koecher Leonardo-Campus Münster recht@dfn.de DFN-Infobrief Recht Februar 2006 I. Freie Fahrt für die Virenpolizei? Rechtliche Aspekte der Datenstromüberwachung... 1 II. Kündigung des Systemadministrator nach Zugriff auf s... 4 III. Haftung für Hyperlinks Disclaimer ohne Wirkung... 5 I. Freie Fahrt für die Virenpolizei? - Rechtliche Aspekte der Datenstromüberwachung Virenerkennungsprogramme und Firewalls waren gestern die neueste Generation der Virenpolizei greift auch dann ein, wenn ihr ein Vorgang zwar nicht als Angriff bekannt ist, aber dennoch verdächtig erscheint. Das ist möglich, weil sie Datenströme überwacht. So genannte Intrusion-Prevention -Systeme (IPS) werden teilweise bereits an Hochschulen als Teil des gesamten Sicherheitssystems eingesetzt. Sie sollen dafür sorgen, dass Angriffe etwa durch Würmer, Viren, Trojaner oder Denial-of-Service-Attacken abgewehrt werden.

2 DFN 2 Hierzu lesen die Systeme den Datenverkehr mit und überprüfen ihn auf vorgegebene Muster und Signaturen, um zunächst bekannte Angriffe abwehren zu können. Die Signaturen werden fortlaufend aktualisiert. Darüber hinaus ermöglichen eine intelligente Protokollanalyse und verhaltensbasierte Algorithmen auf Applikationsebene, weitere, bisher noch nicht bekannte Angriffsformen zu erkennen und abzuwehren. In einem ersten Arbeitsschritt findet der Abgleich der Signaturen innerhalb des Systems statt. Erkennt das System insoweit eine Besonderheit, die auf einen schädlichen Angriff hinweist, zeigt es diese an und erstellt ein Protokoll, aus dem ersichtlich wird, welche IP-Adressen zu welchem Zeitpunkt an welchem gefährlichen Datentransfer beteiligt waren. Das Protokoll ermöglicht anschließend eine Analyse der aufgetretenen Warnung und ggf. ein Einschreiten seitens der Systemadministration. Nach einer zuvor festgelegten Zeitdauer in der Regel reichen hier wenige Tage werden die Protokolle automatisch vollständig gelöscht. Fraglich ist, in welchem Umfang und ggf. mit welchen Einschränkungen bzw. Dienstanweisungen Intrusion Prevention an Hochschulen eingesetzt werden kann. Rechtliche Probleme können sich insoweit aus dem Datenschutzrecht und aufgrund des Fernmeldegeheimnisses ergeben. 1. Datenschutz Datenschutzrechtlich relevant wird die Nutzung des Programms dann, wenn personenbezogene Daten erhoben, d.h. in irgendeiner Form gespeichert werden. Zwar speichert das Programm zu keinem Zeitpunkt den Namen des Nutzers/des Nutzer-Rechners oder vergleichbare klassische personenbezogene Daten, sondern es werden lediglich die IP-Adressen von Quelle und Ziel des abgefangenen Datenstroms mit Datum und Uhrzeit registriert. Entscheidend ist aber die abstrakte Möglichkeit einer Verknüpfung der Verbindungsdaten mit den klassischen personenbezogenen Daten (z.b. dem Namen). Während diese Möglichkeit für außen stehende Dritte i. d. R. nicht besteht, kann die Hochschule als Provider die Verknüpfung herstellen. Zumindest für die Hochschule selbst ist die dynamische oder statische - IP-Adresse eines hochschulangehörigen Nutzers daher ein personenbezogenes Datum (vgl. hierzu etwa Roßnagel, Recht der Multimediadienste, 1 TDDSG Rn. 35 f.); das Speichern der IP-Adresse im Zusammenhang mit dem Zeitpunkt der Verwendung stellt damit eine datenschutzrechtlich relevante Handlung dar.

3 DFN 3 Dies hat zur Folge, dass die Hochschule als Benutzerin eines Intrusion Prevention -Systems an die Vorgaben des Datenschutzrechts gebunden ist, sofern sie IP-Adressen im Zusammenhang mit dem Zeitpunkt der Nutzung speichert. Das Speichern der vom Programm ermittelten Verkehrsdaten über die Dauer der Verbindung hinaus ist nach der spezialgesetzlichen Datenschutzregelung in 96 Abs. 2 TKG zunächst unzulässig. Einen Erlaubnistatbestand hierfür stellt jedoch 100 Abs. 1 TKG dar, wonach die Erhebung und Verwendung von Verkehrsdaten zum Erkennen, Eingrenzen und Beseitigen von Störungen bis zur Grenze der Erforderlichkeit zulässig ist. Entscheidend ist daher, dass eine Speicherung nur dann erfolgt, wenn tatsächlich ein konkreter Anlass dafür besteht, dass dem System Gefahr droht, da nur dann eine Erforderlichkeit gegeben ist. Sollte das IPS auch dann ein Protokoll anfertigen, wenn es etwa eine P2P-Verbindung oder einen anderen objektiv ungefährlichen Datenstrom aufspürt, obwohl für das System keine konkrete Gefahr besteht, wird dies vom Erlaubnistatbestand des 100 Abs. 1 TKG nicht mehr umfasst sein. Diese Datenspeicherung wäre damit unzulässig. Die Voreinstellungen bei der Verwendung von IPS sind daher so vorzunehmen, dass eine Protokollierung nur bei tatsächlich gefährlichen Datenströmen erfolgt. Liegt dagegen eine konkrete Gefahr vor und bedarf die Abwehr einer weiteren Bearbeitung, so ist es dann zulässig, die entsprechenden Daten auch über die normale Lebensdauer der Protokolldaten hinaus zu speichern. In einem solchen Fall kann dann etwa eine Kopie angefertigt werden, bevor das betreffende Protokoll turnusmäßig gelöscht wird. Wie lange die normale Speicherung der Protokolldaten zulässig ist, hängt davon ab, wie viel Zeit tatsächlich erforderlich ist, um entsprechende Überprüfungen der Vorgänge durchzuführen. Dies wird in der Regel einen Zeitraum von wenigen Tagen umfassen. 2. Fernmeldegeheimnis Als Anbieterin von Telekommunikationsdienstleistungen i. S. d. TKG ist die Hochschule zur Einhaltung des Fernmeldegeheimnisses aus Art. 10 GG, das in 88 TKG konkretisiert wird, verpflichtet. Dieses umfasst gem. 88 Abs. 1 TKG den Inhalt der Kommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Kommunikationsvorgang beteiligt ist oder war. Darüber hinaus erstreckt sich das Fernmeldegeheimnis auch auf die näheren Umstände erfolgloser Verbindungsversuche.

4 DFN 4 Die Information darüber, mit welcher IP-Adresse zu welchem Zeitpunkt etwa eine Peer-to-Peer- Plattform angesteuert wurde, betrifft nähere Umstände eines Kommunikationsvorganges und fällt damit unter das Fernmeldegeheimnis. Gem. 88 Abs. 3 TKG ist es dem Diensteanbieter untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung ihrer Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis zu verschaffen. Es kann damit zwar zum Schutz der Systeme eine Einschränkung des Fernmeldegeheimnisses vorgenommen werden, allerdings unterliegt diese einer strengen Zweckbindung und darf nur bei absoluter Erforderlichkeit angewandt werden (vgl. hierzu Beck scher TKG-Kommentar 2. Aufl. 2000, 85 Rn. 5). Damit gilt insofern das oben Gesagte: eine Einsichtnahme in den Kommunikationsvorgang ist zur Gefahrenabwehr dann zulässig, wenn es hierzu einen konkreten Anlass gibt. Dies wird in der Regel die entsprechend voreingestellte Warnmeldung des IPS sein. Warnt das IPS dagegen auch bei objektiv ungefährlichen Datenströmen (z.b. Peer-to-Peer) ist keine Erforderlichkeit gegeben und der Eingriff in das Fernmeldegeheimnis damit unzulässig. Laura Dierking, LL.M. (Informationsrecht) II. Kündigung des Systemadministrators nach Zugriff auf s Systemadministratoren können sehr schnell das für eine Weiterbeschäftigung notwendige Vertrauen verlieren. Das AG-Aachen hat mit Urteil vom (Az: 7 Ca 5514/04, meldung/68640) entschieden, dass die fristlose Entlassung eines Systemadministrators berechtigt war, weil dieser unbefugt s gelesen hatte. Obwohl ihm der Zugriff auf s arbeitsrechtlich untersagt war, las der langjährige Mitarbeiter aus Anlass eines Streits unternehmensinterne s seiner Vorgesetzten. Ausgelöst hatte er dabei versehentlich eine Lesebestätigung, so dass das Öffnen der s auffiel. Indem der Mitarbeiter seine technischen Befugnisse missbraucht habe, habe er in schwerwiegender Weise gegen seine vertraglichen Pflichten verstoßen. Weil der Admin zusätzlich zunächst das Lesen geleugnet hatte, sei das Vertrauen zwischen Arbeitgeber und Arbeitnehmer derart zerstört worden, dass der Kündigung keine Abmahnung vorausgehen musste. Gegen das Urteil wurde Berufung eingelegt. Es bleibt abzuwarten, ob auch das LG Köln davon ausgeht, dass durch das Lesen dreier s das Vertrauensverhältnis derart gestört ist, dass eine fristlose Kündigung gerechtfertigt ist. Immerhin wurden die Mails lediglich gelesen, deren Inhalte aber nicht weitergegeben. Weil der Systemadministrator aber regelmäßig die Möglichkeit hat, alle Daten eines Unternehmens einzusehen, dass Verhältnis demnach äußerst sensibel ist, muss der Arbeitgeber diesem in besonders hohem Maße vertrauen können. Bezweifelt wird deshalb, dass

5 DFN 5 das Berufungsgericht anders entscheiden wird. Wieso die Handlung nach Ansicht des Gerichts aber strafbar sein soll, ist unklar. Zum einen liegt kein Ausspähen von Daten im Sinne von 202 a StGB vor, weil die s gegenüber dem Admin nicht mit besonderer Hard- oder Software gesichert waren. Auch ein Verstoß gegen das Fernmeldegeheimnis i.s.v. 206 Abs. 2 StGB ist zweifelhaft, käme jedenfalls nur in Betracht, wenn der Arbeitgeber Erbringer von Telekommunikationsdiensten (für andere) wäre und ihm die streitgegenständlichen s in diesem Rahmen anvertraut worden wären, was nur bei erlaubter privater Nutzung und privater s in Betracht kommt. Äußerst fraglich ist auch, ob personenbezogene Daten betroffen waren. Ass. jur. Sonja Eustergerling III. Haftung für Hyperlinks Disclaimer ohne Wirkung Der Heise-Verlag und Online-Berichterstatter verlor die Berufung gegen die Aufsehen erregende Entscheidung des LG München aus dem letzten Jahr (Urteil, vom , vgl. auch Kaufmann in DFN-Mitteilungen Juni `05). Wer einen Hyperlink auf eine Webseite setzt, die Software zum Download anbietet, mit der der Kopierschutz von DVD`s umgangen werden kann, haftet nach den Grundsätzen der Störerhaftung. Mit Urteil v hat das OLG München (MMR 2005, 768ff.) die Entscheidung des Landgerichts bestätigt. Damit setzt sich das bayerische Oberlandesgericht über den Wortlaut der entsprechenden urhebergesetzlichen Regelung ( 95a Urheberrechtsgesetz) hinweg, welche es lediglich verbietet, entsprechende Tools herzustellen, zu vertreiben oder für diese zu werben. Indem eine Haftung über die Störerhaftung konstruiert wird, kommt es auf eine solche gewollte Verletzungshandlung nicht an. Eine Werbehandlung wurde jedenfalls durch die Berichterstattung anerkanntermaßen nicht vorgenommen. Eine Haftung wurde auch nicht deshalb abgelehnt, weil der Berichterstatter auf das Verbot des Einsatzes solcher Software hingewiesen und sich offensichtlich ausreichend distanziert hatte. Obwohl das Gericht davon ausgeht, dass es sich bei der Berichterstattung um redaktionelle Berichterstattung über eine Angelegenheit, die für die Öffentlichkeit von allgemeiner Bedeutung ist handelt, hafte das Unternehmen trotz Pressefreiheit. Indem es dem Leser über den Hyperlink wesentlich erleichtert werde, auf die Homepage mit der verbotenen Werbung zu gelangen, leiste der Berichterstatter einen kausalen Beitrag zur Verletzung des 95 Abs. 3 Urheberrechtsgesetz. Hätte Heise nur die URL genannt, hätte ein relevanter Tatbeitrag nicht vorgelegen. Durch den zusätzlichen Service aber wurde eine neue Dimension eröffnet, die über die eigene Berichterstattung hinausging. Ausschlaggebend sei vor allem, dass der Linksetzer positive Kenntnis davon hatte,

6 DFN 6 dass die Webseite rechtswidrigem Handeln diente. Deshalb wurde auch anders entschieden, als in der BGH-Entscheidung Schöner Wetten (vgl. BGH, Urteil vom , MMR 2004, 529, (530)). Im sonst gleich gelagertem Fall war hier nicht zu erkennen gewesen, dass die verlinkte Seite rechtswidrigem Handeln diente. Konsequenz: Durch das Setzen eines Hyperlinks haftet der Linksetzende als Mitstörer, wenn er Kenntnis davon hat, dass die verlinkten Inhalte rechtswidrigem Handeln dienen. Besteht keine positive Kenntnis, ist eine Haftung als Mitstörer abhängig von der Prüfungspflicht, deren Umfang von den Gesamtumständen abhängt. Im Ergebnis bedeutet dies, dass der Berichterstatter, der besser recherchiert, aufgrund seiner Kenntnis bestraft wird (vgl. auch Hoeren in: MMR 2005, 773). Ist ein kritischer Inhalt aber nur schwer zu erkennen, wird durch das Verlinken in der Regel keine Prüfungspflicht verletzt. Eine Störerhaftung kann dann aber nachträglich entstehen, wenn trotz Abmahnung der Link aufrechterhalten wird. Bemerkenswert ist das ergangene Urteil auch deshalb, weil eine Haftung für einen Hyperlink nicht einmal deshalb ausgeschlossen wurde, weil der Link im Rahmen einer von der Pressefreiheit geschützten Berichterstattung erfolgt. Der Heise-Verlag hat Verfassungsbeschwerde eingelegt. Für die Störerhaftung spielt es keine Rolle, ob der Linksetzende sich die Inhalte zu Eigen gemacht hat, oder ob er sich, beispielsweise durch einen Disclaimer, von den Inhalten distanziert. Eine ausdrückliche Abstandnahme zum verlinkten Inhalt kann daher nicht davor schützen, im Rahmen der Störerverantwortlichkeit zu einem Unterlassen gezwungen zu werden. Ein Hinweis auf die Unrechtmäßigkeit des beworbenen Angebots bewahrt aber ggf. davor, selbst als werbender Mittäter direkt zu haften. Disclaimer im Allgemeinen: Distanzierende Erklärungen (Disclaimer) schützen grundsätzlich genauso wenig vor verschuldensabhängigen Schadensersatzansprüchen (beispielsweise bei Marken- oder Urheberrechtsverletzungen), wie vor verschuldensunabhängigen Unterlassungsansprüchen. Eine Disclaimer kann auch nicht davor schützen, für inhaltliche Fehler einstehen zu müssen (z.b. falsche medizinischen Angaben), wenn der Inhaber der Homepage gleichzeitig, die für Online-Veröffentlichungen gebotene Sorgfaltspflicht außer Acht gelassen hat. Sicherste Möglichkeit eine Haftung auszuschließen ist, die Informationspreisgabe ausdrücklich und technisch eindeutig davon abhängig zu machen, dass sich der Nutzer mit dem Haftungsausschluss einverstanden erklärt (vertraglicher Ausschluss).

7 DFN 7 Aus strafrechtlicher Sicht sind Disclaimer irrelevant. Dies gilt sowohl für eigene als auch für fremde Inhalte. Entscheidend ist alleine, dass ein vorwerfbares schuldhaftes Verhalten vorliegt, das von der Rechtsordnung als strafwürdig angesehen wird. Der Setzer eines Hyperlinks kann sich daher beispielsweise wegen Beihilfe zur Verbreitung pornographischer Schriften strafbar machen, wenn er den Inhalt des Hyperlinks kannte. Für ausführliche Informationen verweisen wir auf: Ass. jur. Sonja Eustergerling I