Im Urteil des Landgerichts Hamburg vom 31. März 2023 (310 O 316/21) ging es um die urheberrechtliche Problematik der Software „youtube-dl“, die zum Herunterladen von Inhalten von YouTube und anderen Videoplattformen verwendet werden kann. Konkret wurden die Klägerinnen – Tonträgerherstellerunternehmen – aktiv, da sie behaupteten, der Beklagte, ein Web-Hosting-Dienst-Anbieter, habe durch das Bereitstellen von Speicherplatz für die Website https://youtube-dl.org, über die die Software abgerufen werden konnte, Beihilfe zur Umgehung wirksamer technischer Schutzmaßnahmen geleistet.
„Urheberrechtliche Problematik von Youtube-Download-Software“ weiterlesenSicherung des Zugangs mittels Passwort reicht als Zugangssicherung im Sinne des §202a StGB
Dass die Sicherung des Zugangs durch ein Passwort als Zugangssicherung ausreicht, hat das Landgericht Aachen, 60 Qs 16/23, unter Bezugnahme auf die Rechtsprechung des Bundesgerichtshofs festgestellt. Die Entscheidung macht deutlich, wo derzeit eklatante Probleme im IT-Sicherheitsrecht in Deutschland liegen und wird hier kurz vorgestellt.
Kurze Anmerkung: Ich nehme hier die Entscheidung unkommentiert, nur in Teilen zur Lesbarkeit ein wenig umformuliert auf. Als kurzer Hinweis soll hier genügen, dass die Entscheidung in rechtlicher Hinsicht mit Blick auf die (unsägliche) BGH-Rechtsprechung korrekte Ausführungen zur „besonderen Sicherung“ vornimmt.
Aber: Es verbleibt beim fachkundigen Leser der Eindruck, dass man die eigentliche Relevanz gar nicht verstanden hat. So taucht das Wort „Sicherheit“, trotz der IT-sicherheitsrechtlichen Relevanz, gar nicht auf. Und auch wenn man den §202d StGB richtig anwendet und auf den §69e UrhG zu sprechen kommt, so bleibt vollständig außen vor, dass hier eine grundrechtliche wie speziell unionsrechtliche Auslegung geboten ist; dies gerade mit Blick auf die politisch und gesellschaftlich gewünschte sicherheitsrechtliche Bewertung (dazu ausführlich: Vettermann/Wagner in InTer 2020, 126). All dies verwundert bei einem Sachverhalt, der bundespolitische Auswirkungen haben und auf absehbare Zeit den Gesetzgeber beschäftigen wird – am Ende hat man nach hiesigem Eindruck, mit „Schema-F“-Überlegungen einen vollkommen unterschätzten Sachverhalt versucht, in eine Schublade zu packen. Im Übrigen verbleibt es damit bei meinen Ausführungen zur Rechtslage beim Suchen nach Sicherheitslücken.
Haftung der Geschäftsführung für IT-Sicherheitslücken
Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar? In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile des Vortrags zur Haftung des Vorstands bei IT-Sicherheitslücken vor.
Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.
„Haftung der Geschäftsführung für IT-Sicherheitslücken“ weiterlesenAktualisierungspflicht für Software
Pflicht zur Bereitstellung von Aktualisierungen („Updatepflicht“) bei Software: Seit dem 1.1.22 haben wir ein EU-weit normiertes Verbraucher-Softwarerecht. Mit diesem Softwarerecht kommt ein besonderes Novum: die gesetzliche Vorgabe einer Updatepflicht für Software.
„Aktualisierungspflicht für Software“ weiterlesenRechtliche Implikationen aus der Log4J / Log4Shell Lücke
Eine der sicherlich herausragendsten Sicherheitslücken in diesem Jahrzehnt ist schon jetzt die Log4Shell-Sicherheitslücke, die zunehmend massiv ausgenutzt wird – ich hatte, wie üblich, auf LinkedIn frühzeitig dazu berichtet. Nun langsam, nachdem die Lücke bekannt ist und auch nicht nur in Teilen sondern massiv ausgenutzt werden kann und wird, stellt sich natürlich die Frage, was an rechtlichen Konsequenzen damit verbunden ist. Wie immer gilt: Es kommt drauf an.
Tatsächlich zeigt sich, dass die Lücke einige – vorhersehbare – Konsequenzen hat; viel interessanter ist, dass sich Datenschutzbehörden bereits postieren und auch anlasslose Kontrollen angekündigt haben. Dies nicht nur für Log4J speziell, sondern für Ransomware allgemein.
„Rechtliche Implikationen aus der Log4J / Log4Shell Lücke“ weiterlesenJuristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde,
Ein solcher Fall sollte Provider und Anbieter von Internetdiensten immer aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen. Die aufgezeigte Sicherheitslücke hatte dabei weitreichende Auswirkungen: Zwar benötigte man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko traf damit zumindest theoretisch erst einmal jedes Unix-basierte System.
Sharehosting: Webspace-Anbieter haftet bei Urheberrechtsverletzung erst ab Kenntnisnahme
Das Landgericht Düsseldorf (23 S 359/09) hatte sich mit einem Anbieter von Webspace („Sharehoster“) beschäftigt und festgestellt, dass dieser für urheberrechtliche Verletzungen durch dort vorgehaltene Downloads nicht als Täter in Anspruch zu nehmen ist. Offen liess das Gericht allerdings, ob eine Haftung als Störer in Betracht käme, scheint dem aber eher abgeneigt zu sein.
In der obergerichtlichen Rechtsprechung ist die Frage noch umstritten: Für eine Störerhaftung von Sharehostern ist das OLG Hamburg, 5 U 111/08, dagegen das OLG Düsseldorf, I-20 U 166/09, 1-20 U 8/10, I-20 U 59/10). Dabei hatte sich das OLG Düsseldorf (I-20 U 59/10) auch noch mit der Frage beschäftigt, wie es für „Zusatzdienstleister“, also etwa Suchmaschinen und Web-Verzeichnisse aussieht, die speziell für Sharehosting-Seiten Dienste anbieten – auch hier kommt eine grundsätzliche Störerhaftung nur unter sehr engen Umständen in Betracht. Gleichwohl aber geht es immer um die Frage, was für einen Dienstleister „Zumutbar“ ist, um hier Rechtsverletzungen zu verhindern – je nach Gericht (also je nach Richter), können da vollkommen unterschiedliche Ergebnisse herauskommen. Damit lässt sich auch die Differenz zwischen Hamburg und Düsseldorf erklären. Das OLG Köln (6 U 86/07 und 6 U 100/07) hat sich inhaltlich insgesamt auf die Linie aus Düsseldorf eingependelt, die man zusammenfassen kann mit „Keine umfassende Störerhaftung, sofern (minimale) Prüfpflichten wahrgenommen werden“.
Für Sharehosting bedeutet die aktuelle Rechtsprechung eine weiterhin unsichere Lage, abhängig vom Gerichtsstand. Keinesfalls ist Sharehosting „illegal“ eine derartig vereinfachte Aussage wäre schlicht falsch. Jedenfalls dann aber, wenn Sharehosting-Anbieter ein Kontrollsystem einrichten und die ernsthafte Möglichkeit bieten, dass Urheberrechtsverstösse gemeldet und auch zeitnah verfolgt werden, wird man als Sharehosting-Anbieter wohl wenig mit der Störerhaftung in Bedrängnis kommen. Die Forderung nach einer vorbeugenden prüfung, etwa der Dateinamen, wie es das OLG Hamburg fordert, geht zu weit und scheitert schon daran, dass es eine technisch ungeeignete Maßnahme ist – weder muss in der Datei das stecken, was der Name verspricht, noch schließt ein vollkommen artfremder Dateiname einen inkriminierten Inhalt aus.
Die Frage der Störerhaftung konnte das Landgericht in diesem Fall übrigens offen lassen, weil in diesem konkreten Fall selbst bei angenommener Störerhaftung kein Anspruch auf Zahlung von Anwaltskosten zugestanden werden konnte: Der Abmahner hatte zwar eine Unterlassungserklärung gefordert, aber dann keinen gerichtlichen Schutz gesucht, als diese verweigert wurde. Das LG Düsseldorf stellte insofern richtigerweise fest, dass eine Kostenübernahme nur bei konsequenter Rechtsverfolgung in Betracht kommt.
Die Problematik für Webspace-Anbieter, speziell Host-Provider, nimmt damit weiter an Schärfe zu – auch wenn die bisherigen Entscheidungen soweit eher „entspannt“ sind. Wichtig ist, dass entsprechende Anbieter darauf achten, jedenfalls im Moment der „In-kenntnis-Setzung“ richtig zu reagieren. Falsch ist jedenfalls ein Ignorieren, gleich wie befremdlich die Anfrage auf den ersten Blick auf erscheint. Dazu auch bei uns beachten:
Störerhaftung eines Content-Delivery-Networks (CDN)
Das OLG Köln (6 U 32/20) hat entschieden, dass ein CDN als Störer haftet – jedenfalls ab einem entsprechenden Hinweis des in seinen Rechten Verletzten, wobei es allgemeine Prüfpflichten nicht gibt:
Der Beitrag der Antragsgegnerin besteht darin, dass sie sich hinsichtlich des Datenverkehrs zwischen der Kundenwebseite und Nutzern mit ihrem Server-Netzwerk zwischenschaltet, sodass sämtlicher Internetverkehr von und zur Webseite des Kunden über die Server der Antragsgegnerin läuft. Die Einschaltung der Server der Antragsgegnerin ist damit adäquat kausal für die rechtswidrige öffentliche Zugänglichmachung des streitgegenständlichen Musikalbums über die Seite ihres Kunden. Da das Geschäftsmodell der Antragsgegnerin zunächst objektiv neutral und gesellschaftlich erwünscht ist und sie ein System von 194, weltweit auf 90 Länder verteilte und miteinander vernetzte Server-Präsenzpunkte unterhält, wäre eine allgemeine Prüfungs- und Überwachungspflicht hinsichtlich von Inhalten ihrer Kundendomains unverhältnismäßig (…). Denn diese richtet sich nach den jeweiligen Umständen des Einzelfalls unter Berücksichtigung der Funktion und Aufgabenstellung des als Störers in Anspruch Genommenen sowie mit Blick auf die Eigenverantwortung desjenigen, der die rechtswidrige Beeinträchtigung selbst unmittelbar vorgenommen hat (…).
Ist ein Störer ein Diensteanbieter, dessen Dienst in der Speicherung von durch einen Nutzer eingegebenen Informationen besteht, kann er nach der Rechtsprechung des BGH grundsätzlich erst dann durch gerichtliche Anordnung zur Unterlassung verpflichtet werden, wenn es nach einem Hinweis auf eine klare Rechtsverletzung erneut zu einer derartigen Rechtsverletzung gekommen ist, weil der Diensteanbieter nicht unverzüglich tätig geworden ist, um den rechtsverletzenden Inhalt zu entfernen oder den Zugang zu diesem zu sperren und dafür zu sorgen, dass es zukünftig nicht zu derartigen Rechtsverletzungen kommt (…)
Eine Prüfpflicht konnte daher nach der Rechtsprechung des BGH erst entstehen, nachdem die Antragsgegnerin Kenntnis von der konkreten Rechtsverletzung erhalten hat (…)
Allerdings kann die Entscheidung durchaus kritisch gesehen werden und muss nicht das letzte Wort sein – die Revision ist möglich (mir ist nicht bekannt ob diese eingelegt wurde). Dabei könnte ich das Rechtsmittel lohnen, denn das OLG führt aus, warum man sich gegen die Anwendbarkeit der Rechtsprechung des BGH zur Haftung des Access-Providers ausgesprochen hat:
Die Rechtsprechung des BGH zur (subsidiären) Störerhaftung des Access-Providers ist vorliegend nicht entsprechend anwendbar. Zwar verfolgt auch die Antragsgegnerin ein von der Rechtsordnung gebilligtes und in Bezug auf Rechtsverletzungen Dritter zunächst neutrales Geschäftsmodell. Sie ist jedoch, anders als ein Access-Provider, mit den Betreibern der streitgegenständlichen Webseite unmittelbar vertraglich verbunden und führt ihre Dienstleistungen des CDN-Systems für diese und zu deren Gunsten aus, indem sie mit ihrer Dienstleistung die Kundenwebseite effizienter macht und vor Angriffen schützt; anders dagegen der Access-Provider, der lediglich den Zugang zu einem Kommunikationsnetz vermittelt, indem er über die von ihm bereitgestellten Internetzugänge Dritten ermöglicht, von deren Endgeräten aus auf das Internet zuzugreifen
Erst kürzlich hat sich der BGH nochmals zu der Frage der Anwendbarkeit der Haftungsgrundsätze eines Accessproviders geäussert, speziell hinsichtlich eines Domainregistrars. Dabei hat der BGH deutlich gemacht, dass die vom OLG Köln in den Fokus gerückte Frage der Vertragsnähe zwischen Rechtsverletzer und Dienstleister als solche nicht verfängt und vielmehr u.a. die Bedeutung der Leistung für die Öffentlichkeit in den Vordergrund gerückt. Diese Argumentation lässt sich durchaus auch auf ein CDN übertragen. Insbesondere wenn man ansonsten das Risiko sieht, dass auch in diesem Bereich „chilling effects“ bzw. ein Overblocking auftreten können, was der BGH ebenfalls berücksichtigt sehen will.
BGH zur Störerhaftung des Registrars
Der Bundesgerichtshof (I ZR 13/19) hat nunmehr klargestellt, dass der Registrar einer Internetdomain, der im Auftrag des zukünftigen Domaininhabers der Registrierungsstelle die für die Registrierung der Domain erforderlichen Daten mitteilt und auf diese Weise an der Konnektierung der Domain mitwirkt, als Störer für die Bereitstellung urheberrechtsverletzender Inhalte unter der registrierten Domain haftet – dies allerdings nach den für Internetzugangsvermittler geltenden Grundsätzen auf Dekonnektierung der Domain.
Damit stellt sich der Bundesgerichtshof ausdrücklich gegen die Rechtsprechung des OLG Köln.
„BGH zur Störerhaftung des Registrars“ weiterlesenOLG Köln: Domainregistrar als Störer bei Urheberrechtsverletzung
Domainregistrar haftet bei Urheberrechtsverletzung als Störer: Das Oberlandesgericht Köln (6 U 4/18) hat entschieden, dass ein Domainregistrar nach Inkenntnissetzung von Urheberrechtsverletzungen als Störer haftet, wenn er nicht tätig wird.
Update: Die Entscheidung ist überholt, der BGH hat sich hier anders postiert!
Grundsätzlich ist vorweg festzuhalten, dass einen Domainregistrar nur eingeschränkte Prüfpflichten treffen, die eine Handlungspflicht nur dann auslösen, wenn die Verletzung der Rechte Dritter offenkundig und für ihn unschwer, also ohne tiefgreifende tatsächliche und rechtliche Prüfung, feststellbar ist. Denn als rein technische Registrierungsstelle ist der Registrar nicht ohne Weiteres in der Lage, zu beurteilen, ob die behaupteten Rechtsverletzungen vorliegen. Das gilt insbesondere dann, wenn schwierige tatsächliche Vorgänge festzustellen oder rechtliche Wertungen vorzunehmen sind. Es ist nicht angemessen, das Haftungs- und Prozessrisiko, das bei Auseinandersetzungen um Rechtsverletzungen den Inhaber der Domain trifft, auf den Registrar zu verlagern (vgl. OLG Frankfurt, 16 W 47/15; OLG Saarbrücken, 1 U 25/14 oder auch Landgericht Münster, 8 O 224/19).
Dazu auch bei uns: Allgemeines zur Urheberrechtsverletzung – Was ist eine Urheberrechtsverletzung und Störerhaftung des Admin-C
„OLG Köln: Domainregistrar als Störer bei Urheberrechtsverletzung“ weiterlesen