IP-Adressabfragen bei Urheberrechtsverstößen und anderen Vergehen (Update)

Im Rahmen der redtube-Affäre und den jährlich zu zehntausenden stattfindenden IP-Adressabfragen per Gericht, habe ich mir Gedanken darüber gemacht, wie die IP-Adressabfrage angezweifelt werden kann. Es ist jetzt also mein Ziel festzustellen, dass das bisherige Verfahren im Rahmen des Urheberrechts (aber auch andere), mögliche Urheberrechtsverletzungen mit Hilfe der IP-Adressermittlung und Abfrage der Nutzerdaten per Gerichtsbeschluss nachzuweisen, anzweifelbar ist, weil es den grundsätzlichen Abläufen der gerichtsfesten Sicherung von digitalen Beweisen nicht gerecht wird. Hierzu nutze ich u.a. die Grundsätze der Beweisaufnahme in der IT-Forensik. Ich bin zwar kein Gutachter, kein Anwalt und kein Polizist, aber entsprechende Schulungen habe ich absolviert und das Wissen konnte ich mir aneignen. Ich habe mir auch die Zeit genommen meine Tonnen an Daten zum Thema Forensik nochmal durchzuarbeiten. Es war für mich wie immer spannend.

Der Text spiegelt meine persönliche Meinung wieder und ist ein Denkanstoß für alle, die mit Vorwürfen kämpfen müssen, einen Urheberrechtsverstoß begangen zu haben, oder Vorwürfen ausgesetzt sind, die mit Hilfe einer IP-Adressabfrage untermauert werden. Der Text soll helfen sich zu verteidigen und die Richtigkeit der Beweiserhebung anzuzweifeln. Die Nutzung erfolgt auf eigene Gefahr. Es handelt sich in diesem Beitrag nicht um eine Rechtsberatung! Ich habe versucht so kurz und bündig zu schreiben, Fachbegriffe soweit möglich auszuschließen und den gesunden Menschenverstand anzusprechen. Ich vermeide soweit möglich alle fachspezifischen Dinge wie Paragrafen oder gewisses Fachvokabular, um es anschaulich zu schreiben. Ich habe zusätzlich mir übermittelte Erfahrungen aus der Polizeiarbeit einfließen lassen, die definitiv interessant sind und mindestens mir bisher unbekannte Einblicke gegeben haben. Nicht immer positiv. Entsprechende Infos aus Sicherheitskreisen sind mit einem simplen Sternchen am Satzende bzw. Absatz markiert.

Wie immer freuen mich Kritik, Änderungsideen oder weitergehender Stoff zum Thema. Aufgrund der Komplexität der Thematik bitte ich das manchmal stellenweise sprunghafte Schreiben zu entschuldigen.

 

Urheberrechtsgesetz und Abmahnungen

Erinnern wir uns warum es die Abmahnmöglichkeiten für Urheberrechtsinhaber gibt. Die Abmahnungen sollten, wie Autor Johannes Boie in der Süddeutschen zum redtube-Fall geschrieben hatte, Zitat: „… Gerichte entlasten und bewirken, dass kleine Streitereien ohne großes Getöse aus der Welt geschafft werden können.“ (http://www.sueddeutsche.de/digital/abmahnungen-fuer-urheberrechtsverletzungen-amandas-teure-geheimnisse-1.1844296). Um Streitigkeiten aber auf kurzem Wege beizulegen, müssen die Beweise, die eine Schuld unterstreichen, eindeutig und vom angeblichen Urheberrechtsverletzer nicht widerlegbar sein, mindestens aber für Gerichte so überzeugend, dass die Herausgabe der Personendaten zu einer IP-Adresse veranlasst werden kann. Vor Gericht kann sich dann tiefgreifender gestritten werden.

Das Problem mit dem Urheberrecht ist aber, dass die angeblichen Beweise durch private Seite erhoben werden. Der angebliche Beweis ist nur eine IP mit Zeitstempel, später verknüpft mit eben genannten Personendaten. Ab und zu wird noch mit dem Hash-Wert einer Datei jongliert.

Im Unterschied zum Strafrecht, wo die Sicherheitsbehörden die Tat nachweisen müssen, muss der Beschuldigte in einem Urheberrechtsverfahren im Zuge der Störerhaftung belegen nicht der Täter gewesen zu sein.

 

Beweisaufnahme in der IT-Forensik im Vergleich zu den Abläufen, die im Rahmen von Urheberrechtsverletzungen durchgeführt werden

Wie müssen wir uns den Ablauf der Beweissicherung im Rahmen einer forensischen Untersuchung vorstellen? Wie sieht die Beweiserhebung und Sicherung bei Urheberrechtsverletzungen aus? Die letzten Wochen hatte ich meine letzten ca. 5.000 MB Dokumente durchgearbeitet. Grundsätzlich ist das nicht in einer Seite zu beschreiben. Ich werde trotzdem versuchen die Grundzüge so leicht verständlich und nachvollziehbar zu erklären. Grundlage sind mein Schulungen hier (http://www.eccouncil.org/certification/computer-hacking-forensics-investigator) und hier (ähnlich = https://www.ifos-bund.de/bip/servlet/bakoev.VeranstBeschr?index=20806). Zusätzlich kommen, wie bereits erwähnt, einige Informationen aus Sicherheitskreisen.

 

Wie läuft die Beweiserhebung in der IT-Forensik?      

Als erstes muss die Identifizierung des IT-gestützten Verbrechens erfolgen. Entweder durch einen Betroffenen, der erkennt/bekennt Opfer eines bestimmten Verbrechens geworden zu sein, oder beispielsweise durch die Anzeige eines Betroffenen / Opfers, die die zuständige Dienststelle zu einer Einstufung hinreißen lässt.

Hinweise und Begründung der Anzeige werden dann bewertet, um die richtigen Schritte einzuleiten.

Wurden notwendige Schritte evaluiert, benötigen Strafverfolgungsbehörden einen Gerichtsbeschluss, um Beweise an/von einem Tatort aufzunehmen. Mindestens das System des Opfers kann jedoch freiwillig in die Hände der Behörde für weitere Untersuchungen gegeben werden.* Bei der IP-Adress-Beauskunftung wird ein Gerichtsbeschluss benötigt, um bei einem Provider Nutzerdaten für eine IP-Adresse zu erhalten. Eine polizeiliche IP-Auskunft läuft über ein Auskunftsersuchen nach §100j StPO.* Der Ermittler muss dazu nur die IP-Adresse und den entsprechenden Zeitstempel angeben.* Weitere Hürden sind nicht erforderlich. Bspw. stellt die Telekom der Polizei dann 18 Euro pro Auskunft in Rechnung.* (>>> Hier bitte Update unter dem Text beachten!!!) Eine Auskunft bei diesem Provider wird weiterhin nur innerhalb der meist siebentägigen Speicherfrist erteilt. Nach Gesprächen mit Beamten wurde aber auch dargelegt, dass bei schweren Straftaten auch darüber hinaus nach Bestandsdaten angefragt werden kann.* Daher ist davon auszugehen, dass mindestens genannter Provider inoffiziell wohl doch viel länger Bestands- und Verkehrsdaten speichert als offiziell angegeben.* Ob die Telekom zu deren Eigensicherung Daten für polizeiliche Abfragen länger speichert, kann auch nicht ausgeschlossen werden.* Zum Vergleich: Vodafone speichert technikbedingt im Höchstfall vier Stunden und stellt offiziell Niemandem Daten zur Verfügung.* (Klammern wir mal die Geheimdienstgeschichten aus.)

Abfragen wegen Urheberrechtsverletzungen werden von der Polizei schon lange nicht mehr gemacht. Urheberrecht ist Zivilrecht und daher von Seiten der Strafverfolgung irrelevant. Den Dienststellen ist es erst mal egal, wer welche Daten z.B. heruntergeladen bzw. hochgeladen hat. Ohne jemanden direkt bei der Tathandlung zu erwischen, ist es unmöglich festzustellen, wer der Täter war.* Sollten Anhaltspunkte zu Tauschsoftware gefunden werden, schaut man aber schon mehrmals hin.* Wenn bei Hausdurchsuchungen, die aufgrund von IP-Adressabfragen nötig wurden, in Haushalten mit mehreren Personen, die alle Zugriff auf IT-Systeme haben, durchgeführt werden, kann so leicht nichts bewiesen werden.* Ähnliches setzt sich mittlerweile in Urheberrechtsvorfällen durch, wenn der Beschuldigte mehrere Haushaltsangehörige benennen kann, die theoretisch und praktisch Zugang zum Internetanschluss haben. Diese müssen sich aber nicht selbst belasten.

(Beispiele:
http://www.anwalt24.de/beitraege-news/fachartikel/filesharing-urteil-zur-belehrungspflicht-des-anschlussinhabers-gegenueber-kindern;
http://www.domain-recht.de/domain-recht/stoererhaftung/storerhaftung-drei-urteile-zum-wlan-recht-63914.html;
http://www.anwalt.de/rechtstipps/abmahnung-der-kanzlei-kornmeier-partner-wegen-alle-farben-she-moves_061077.html;
http://www.anwalt24.de/beitraege-news/fachartikel/filesharing-in-wohngemeinschaft-ag-bochum-entlastet-anschlussinhaber
).

Kehren wir nach diesen spannenden Details zurück zur Beweiserhebung.

Eine Beweissicherung muss in der Regel an dem IT-Tatort durchgeführt werden. (Später noch eine Einschränkung am Beispiel der Telekom!) Also der Adresse, die bei einer IP-Auskunft herausgekommen ist. Dazu gehören auch bei forensischen Untersuchungen Fotos des Tatortes, also der eingesetzten Technik, der Anschlüsse, die verwendete Netzwerktopologie etc.! Zur Not eine Vor-Ort-Untersuchung, wenn IT-Geräte noch eingeschaltet sind. Freiwillig abgegebene Geräte vom Opfer kommen gleich in das forensische Labor. Aufgrund der mittlerweile vielfältigen IT-Technik ist ein Vor-Ort-Termin zwingend. Nicht selten sind USB-Speicher in kleinen unscheinbaren Dingen versteckt, wie Kugelschreiber oder Teddybären. Wer sich mal die Mühe gemacht hat spielerisch ein kompliziertes Netzwerk aufzubauen, kann selbst eine Hausdurchsuchung locker nehmen. Beispielsweise nenne ich mal einen solarbetriebenen RaspberryPI, der per WLAN irgendwo witterungsgeschützt im Garten versteckt wurde und die wichtigen Daten enthält. In einem Hackerexperiment war ich mal Zeuge davon mit einer entsprechenden Richt-Antenne ein Signal etwa einen Kilometer weit zu übertragen. Also ein WLAN, dass einen Durchsuchungsbeschluss für einen ganzen Stadtteil zur Folge haben müsste.

Strafverfolgungsbehörden müssten nun auch die selbst gesammelten Beweise in ein entsprechendes IT-Forensiklabor transportieren.

Von den Daten (Festplatten, Konfigurationsimage von Routern, Firewalls und anderen Geräten) müssen mindestens zwei forensische Kopien angefertigt werden. Mit dem Original darf nicht gearbeitet werden. Jeder Schritt, jeder ausgeführte Befehl, jeder Fehltritt, einfach ALLES muss dokumentiert werden. Sie müssen alles dokumentieren und einen Bericht erstellen, der eine Würdigung aller Beweise enthält. Die Prüfung des Berichtes durch eine unabhängige Stelle, anhand einer weiteren forensischen Untersuchung an einer der Kopien, muss zum selben Ergebnis kommen. (Dieser kleine Absatz ist eigentlich der Kern einer jeden IT-gestützten forensischen Untersuchung.)

Wenn Ihr also mal Opfer einer Beschlagnahmung werdet und im Zuge des Prozesses herauskommt, dass die zuständigen Ermittler mit den Originalgeräten gespielt haben, haben Sie gegen die Regeln verstoßen. (Dann sollte man nach Rückgabe das System auch plattmachen und neu betanken!) Solltet Ihr mal einen IT-Forensikbericht in der Hand halten, der sauber, fehlerfrei und konsequent zum Ziel kommt, dann könnt Ihr den zerreißen. Er ist zu 99% falsch. Das 1% überlasse ich mal den absoluten Genies. Den fehlerfreien Menschen unter uns. Entsprechende Berichte müssen alle nicht erfolgreichen Aktionen beschreiben. Wurde bspw. an einem System eine Live-Untersuchung durchgeführt (weil es eingeschaltet vorgefunden wurde) und fehlerhaft ausgeführte Befehle und Untersuchungen, die in eine Sackgasse führten, stehen nicht im Protokoll, ist die forensische Untersuchung fehlerhaft und kann das zu untersuchende System als Beweis untauglich gemacht haben.

Würden Strafverfolgungsbehörden Beweise bei Providern oder IT-Dienstleistern selbst erheben, können wir davon ausgehen, dass sie keine Datenträger oder Kopien mitnehmen, sondern nur eine Liveuntersuchung durchführen, da gerade bei großen Providern und IT-Dienstleistern mittlerweile im mehrstelligen Terrabytebereich Daten verarbeitet werden. Die kann man gar nicht mehr mitnehmen. Bei dem Terroristen von Nebenan, ist das in er Regel kein Problem. Sie müssen also selbst Zugriff auf die Datenbanken haben, um nur den benötigten Teil zu exportieren. Zusätzlich ist jeder Schritt durch die Behördenvertreter zu dokumentieren. Jeder genutzte Befehl, auch jeder falsche Befehl und Vertipper. Alles muss dokumentiert werden, damit eine andere unabhängige Stelle die Beweiserhebung nachvollziehen kann und anhand der Dokumentation bei einer Wiederholung zum selben Ergebnis kommt. Nur dann haben die Ermittler richtig gearbeitet. Gerade, wenn man mit Systemen arbeitet, von denen man keine 1 zu 1 Kopie erstellen kann, ist Gründlichkeit wichtig. Das Vier-Augen (+) Prinzip muss eingehalten werden. Der Weg des ausgewerteten Datensatzes, der als Beweis genutzt werden soll, aus der Datenbank bis in das forensische Labor, muss lückenlos festgehalten werden.

Vielleicht interessiert Dich noch:   Interview mit Dietmar Bartsch

Aber tun das Sicherheitsbehörden?

Nein! Behörden lassen, wie oben bereits beschrieben, in der Regel die Arbeit im Rahmen von Datenabfragen zu IP-Adressen durch die Provider durchführen. Strafverfolgungsbehörden erheben bei Internetprovidern die IP-Adressauskünfte in der Regel nicht selbst.* Damit erledigen nichtstaatliche Stellen hoheitliche Aufgaben. Für mich ein Angriffspunkt auf die Datenerhebung. Anders ist es bei einer TKÜ-Maßnahme. Landeskriminalämter haben eigene Schnittstellen, um Daten bei den Providern umzuleiten / abzuleiten oder um die Daten anders zu erheben.*

Anschließend löschen die Provider die Daten, siehe Transparenzbericht der Telekom. (Sollten Sie es nicht tun, wäre das ein Fall für mindestens den internen Datenschutzbeauftragten.) Dieses Detail wird noch wichtig!

Was passiert sonst noch so? (Folgender Abschnitt bis zur Behandlung der Beweisaufnahme nach Urheberrecht musste überarbeitet werden.)

Ich erwähnte bereits, dass auch freiwillig abgegebene Systeme betroffen sein können. Hier kann es jedoch für die Sicherheitsbehörden zu Problemen kommen, wenn die Untersuchungen längere Zeit auf sich warten lassen. Personalmangel, zu viele Fälle, zu wenig Material. Wenn Betroffene Ihre Systeme freiwillig abgeben, aber mit den Geräten Ihr Geld verdienen müssen, so kann das Ärger nach sich ziehen. Wer hilft denn gerne, wenn die eigene Existenz bedroht ist, weil wichtige Geräte nicht genutzt werden können? Ein weiteres Problem sind beschlagnahmte Geräte von Personen oder Firmen, die ebenfalls und notwendigerweise das beschlagnahmte IT-Material benötigen. Nach 30 Tagen erhalten die Dienststellen die Aufforderung zur Rückgabe.* Das führt nach Informationen von Polizeibeamten dazu, dass auch mal mit den Originalgeräten und nicht mit forensischen Kopien gearbeitet wird. Hier nutzen sie dann einen notwendigen Schreibblocker, um Daten zu finden und den Datenträger nicht zu verändern.* Das wird in der Form vor Gericht anerkannt. Das soll nicht selten der Fall sein. Wer bspw. ein Originalsystem startet, verändert es! Arbeitsspeicher, Auslagerungsdateien, Logdateien und temporäre Dateien verändern sich durch einen Systemstart und das zu untersuchende System würde vom Originalbeweis abweichen. Damit Beschuldigte auch das Recht erhalten die Daten prüfen zu lassen, müsste trotzdem eine forensische Kopie gemacht werden (können). Natürlich können Untersuchungen auch aufgrund der Datenmenge erschwert werden. Wenn eine forensische Untersuchung einer bspw. voll gefüllten 10TB-Festplatte durchgeführt werden soll, dann frisst das ohne Ende Zeit, Personal und Technik. Das Protokoll dazu müsste 100.000e von Seiten lang sein. Forensische Kopien lassen sich hier nur noch schwer realisieren.

Wenn der Verteidiger von der Staatsanwaltschaft fordern würde, dass er einen Gutachter beauftragen möchte den Datenerhebungsvorgang beim Provider prüfen zu lassen, müsste der Staatsanwalt zugeben, dass das nicht möglich ist. Warum? Eine Wiederholung der Beweisermittlung ist nicht möglich, da an einem Originalsystem gearbeitet wurde, oder Daten bei Providern gelöscht wurden. Nur eine forensische Kopie, die unangetastet ist, ist ein Vorteil der jeder Anklage zu Gute kommt. Außer man hat sie sich nicht!

Beweisaufnahmen nach Strafrecht können unter Umständen angegriffen werden.

 

Wenn wir uns an die Geschichten über NSA, BND, Verfassungsschutz und GCHQ erinnern, würde ein falsches Vorgehen noch mehr Misstrauen gegen staatliche Stellen erzeugen. Wir wissen ja, dass Geheimdienste Programme zur Manipulation betreiben. Eine forensische Untersuchung nicht sauber durchzuführen und die Überprüfbarkeit nicht zu gewährleisten, kommt einer Manipulation gleich. Betroffene Polizeibeamte erzählten mir außerdem, dass es vor Gericht noch nie dazu gekommen ist, dass ein Verteidiger diesen Umstand angegriffen hat. Oft versuchen sie nur durch provokante Fragen den Zeugen (Forensiker) zu einer Reaktion zu verleiten, die seine Zeugenaussage in Zweifel zieht. Sie fänden es auch interessant, wenn es mal um diese Sache gehen würde. Es betrifft ja auch ihre eigene ArbeitQ* Ihre Besoldung!* Ihre technische Ausstattung!*

 

Machen wir weiter mit der Beweiserhebung nach dem Urheberrecht

Die Urheberrechtsverletzung wird durch den Urheber festgestellt. Das soll durch Software in P2P-Netzwerken geschehen, oder wie im redtube-Streamingfall mit anderen Mitteln. Der Urheber sichert sich die IP-Adresse derjenigen, die auf einem bestimmten Wege angeblich unerlaubt Daten kopiert, gestreamt, oder verteilt haben.

Das globale Problem der Urheberrechtsinhaber: Ihre Beweiserhebung (IP-Adressfeststellung) muss vor Gericht einer Prüfung standhalten. Sie müssen die genutzte Ermittlungssoftware offenlegen und den Erhebungsvorgang lückenlos dokumentieren. Der Beschuldigte darf keine Möglichkeit haben die Beweisermittlung anzuzweifeln, wenn die Abmahnung Erfolg haben soll. Bevor Adressdaten angefordert werden können, darf natürlich auch das Gericht nach ordentlicher Prüfung keine Zweifel haben. Beim redtube-Fall ist es am Ende u.a. daran gescheitert. Ich persönlich glaube, dass eine detailliertere Prüfung bei jedem Abmahnfall zum Scheitern führen würde. Warum?

Ein unüberwindliches Problem der Urheber ist die Tatsache, dass sie keine Beweissicherung bei angeblichen Urheberrechtsverletzern durchführen können, also bei deren IT-Systemen. Das könnten nur Strafverfolgungsbehörden. Die werden aber nicht tätig, weil Zivilrecht vorliegt. Grundsätzlich wäre das jedoch notwendig, um Beweise für den Rechtsverstoß zu unterstreichen. Eine IP-Adresse ist noch kein Beweis. In der Regel wird bei Abmahnungen nach Urheberrecht auch der Hashwert von Dateien angegeben. Also der Wert, der die Datei, die getauscht, oder angeboten wurde, eindeutig identifiziert. Wenn aber keine Untersuchung des IT-Systems des angeblichen Urheberrechtsverletzers stattfindet und eine entsprechende Datei mit diesem Hashwert damit nicht gefunden wird, ist die Hashwert-Geschichte völlig überflüssig und unterstreicht eher die Hilflosigkeit die IP-Adressermittlung aufzuwerten. Wenn ich einen Hashwert von Datei X auf dem Ermittlungssystem der Rechteinhaber errechne, dann muss ich auch auf dem System des angeblichen Rechteverletzers eine Datei X mit diesem Hashwert finden. Können sie aber nicht. Sie haben eben keine Anzeige erstatten können und die Strafverfolgungsbehörden haben keine IT-forensische Untersuchung durchgeführt. Warum sollten sie auch? Es ist nicht nur Zivilrecht, auch der Streitwert ist in den meisten Einzelfällen zu gering. So ist im Grunde von jedem Abmahner nur die Behauptung aufgestellt, dass die Datei X mit dem bestimmten Hashwert von der IP XXX heruntergeladen bzw. zum Tausch angeboten wurde und sich auf dem System des angeblichen Urheberrechtsverletzers befindet. Immer ein Schuss ins Blaue!

Und die Personendaten hinter der IP-Adresse? Die Urheber benötigen einen Gerichtsbeschluss der die Provider auffordert Adressdaten zu IP-Adressen herauszugeben. Sie müssen das begründen. Aufgrund dieser Begründung entscheidet dann das Gericht, ob ein Anspruch vorhanden sein könnte. Eingesetzte Software, Firmen und technische Verfahren müssen so dargeboten werden, dass keine Zweifel entstehen können. Der Hashwert war bspw. auch Bestandteil der Begründung des Auskunftsantrages im redtube-Fall. Ohne Zugriff auf das System des angeblichen Urheberrechtsverletzers spielt der Hashwert aber schlicht keine Rolle. Die Begründung des Antrages zur Herausgabe der Adressdaten hinter einer IP-Adresse muss so konkret sein, dass die Beweisermittlung nicht anzweifelbar ist. Der redtube-Fall war bereits ein grandioses Märchen. Hier war die fehlerhafte Beschreibung der Funktionsweise der Software dafür maßgeblich, dass sich das Gericht getäuscht fühlte. Die Nachprüfbarkeit der IP-Adressermittlung wäre nicht möglich gewesen. Die Akteure zu undurchsichtig. Die Software nicht vorhanden. Die Ermittlungssoftware der Abmahner muss also in Ihrer Funktionsweise überprüfbar sein. Kennt jemand eine offiziell zertifizierte und/oder offengelegte Software?

Und wenn das Gericht doch von irgendwas überzeugt ist? Mit dem Gerichtsbeschluss erhalten die Urheberrechtsinhaber nun die Adressdaten der Person hinter einer IP-Adresse zum angegebenen Zeitpunkt. Die Herausgabe erfolgt durch den Provider in einem eigens festgelegten Verfahren. Bei der Telekom gibt es die Besonderheit, dass die IP-Adressen einer T-Online-Kennung zugeordnet werden und nicht einem Anschlussinhaber.* Oben habe ich darauf hingewiesen, dass es hier eine Besonderheit gibt. Hier bitte auch das Update unter dem Text beachten! Ähnlich müsste es bei 1&1 laufen. Das ist dahingehend spannend, wenn ein Telekom-Kunde in München Besuch von einem Telekom-Kunden aus Hamburg hatte. Der Hamburger kann sich in München mit seinen Daten anmelden. Macht der Münchener jetzt aber Blödsinn, bekommt der Hamburger die unangenehme Post. Telekom-Kunden sind irgendwie ziemlich gut überwacht. Egal an welchem Telekom-Zugangspunkt sie sich befinden. Ich weiß nicht, ob sie sich gegenseitig Deckung geben können, weil sich niemand selbst belasten muss, oder diese Art der Identifizierung vor Gericht als eindeutig angesehen wird. Bitte das Update am Ende des textes beachten!* Im redtube-Fall haben sich viele Betroffene gewundert warum Ihre T-Onlinekennung auf der Abmahnung mit angegeben wurde. Jetzt wissen wir es. Der Missbrauch einer T-Onlinekennung kann also auch Ursache für eine Abmahnung sein. Betroffene Telekomkunden sollten prüfen, ob Ihre Daten nicht auch in andere Hände gelangt sein könnten. Gehackte Router oder Fritzboxen (der Telekom), verschwundene Briefe nach Einbrüchen etc.?    *:c)*     Wer weiß das schon? Ausschließen darf man heute gar nichts mehr!

Vielleicht interessiert Dich noch:   Alrawi

Wie funktioniert das Zusammenspiel zwischen Urheber und Provider?

Urheber können die Daten der Provider nicht selbst auslesen. Urheber, die aufgrund eines Gerichtsbeschlusses einen Datensatz erhalten, stützen sich nur auf diese Daten, die sie bekommen haben. Hier finden wir jedoch das gleiche Problem, wie oben beschrieben: Laut Transparenzbericht der Telekom werden die Datenbankabfragen durch zwei Mitarbeiter durchgeführt. Das Vier-Augenprinzip ist gut und richtig. Damit sichert sich der Provider ab! Ob Abmahner auch 18 Euro pro Anfrage an die Telekom zahlen müssen, wäre interessant zu wissen! Aber, hier kommen wir zu dem Punkt zurück auf den ich bereits mit meinem Beispiel mit dem Verteidiger und Staatsanwalt hinweisen wollte und den Strafverfolgungsbehörden: Der Provider löscht die Daten anschließend! (Siehe Transparenzbericht der Telekom.) Einmal in der originalen Datenbank, weil es keine Pflicht zum langfristigen Speichern gibt (keine Vorratsdatenspeicherung) und weil keine Rechtsgrundlage (Datenschutz) zur längerfristigen Speicherung dieser abgefragten Daten existiert. (Außer sie speichern zur Eigensicherung doch und sagen es nur nicht.) Gehen wir davon aus, dass gelöscht wird. Das ist offiziell!

Und dieser Ablauf ist jetzt das Problem der Urheber. (Grundsätzlich würde ich sogar behaupten, dass es auch ein Problem für Strafverfolgungsbehörden ist!)

 

Wiederholbarkeit

In der IT-Forensik muss jeder Beweis bei korrekter Sicherung der digitalen Spuren und korrekter Dokumentation der Beweiserhebung nachvollzogen werden können und muss anhand einer forensischen Kopie wiederholbar sein!!! In unserem Fall ist das nicht so. Die originalen Beweise als Datensatz werden offiziell nach der Bestandsdatenabfrage bei Urheberrechtsverletzungsgeschichten vernichtet.  (Und bei Strafermittlungen wahrscheinlich auch.). Damit kann ein Beschuldigter anzweifeln, dass in unserem Beispiel die Telekom die Daten korrekt exportiert hat. Auch eine Fälschung der durch die Provider übermittelten Daten kann ab diesem Schritt nicht mehr kontrolliert werden, denn die originalen Daten wurden beim Provider offiziell gelöscht. Damit wird dem angeblichen Urheberrechtsverletzer die Möglichkeit genommen eine eigene Prüfung der originalen Daten vorzunehmen, oder vornehmen zu lassen, um seine Unschuld zu beweisen, wenn er im Rahmen der Störerhaftung nicht nachweisen oder glaubhaft machen kann, dass auch andere Zugang zum System hatten. Das Verfahren ist fehlerhaft und kann zu Ungunsten einer Partei missbraucht werden. Strafermittlungsbehörden haben sicher einen Vorteil aufgrund von Laufzettel und innerer Organisation etc., aber Urheber haben keine Beweise, sondern nur eine Sammlung nicht mehr überprüfbarer Behauptungen.

Stellt Euch vor in einem Mordfall wird die Tatwaffe und die DNA des Täters gefunden. Nach der Beweisaufnahme am Tatort durch die Strafverfolgungsbehörden werden die Beweise vernichtet. Vor Gericht kommt der Mörder frei, weil niemand mehr beweisen kann, dass die DNA des Angeklagten gefunden und die Tatwaffe ihm nicht mehr zugeordnet werden konnte. Der Täter hat den Beweis angezweifelt und der Ankläger selbst konnte nur auf nicht mehr existente Beweise verweisen. Das negative Echo wäre gigantisch. Beweise im Urheberrecht werden hingegen akzeptiert, obwohl sie grundsätzlich niemand nachprüfen kann.

 

Wenn ich also eine Abmahnung erhalte mit:

Sie hatten die IP: XXX.XXX.XXX.XXX ; am: XX.XX.XXXX ; um: XX:XX:XX Uhr und haben die Datei XXX_Abmahner_hash_mich_XXX.MP4 mit dem Hashwert XXXXXXXXXXXXXXXXXX zum Tausch in einer Tauschbörse angeboten, gestreamt oder unerlaubte Kopien auf dem Jupitermond Europa verteilt,

dann zweifel ich den Hashwert an, weil, eine Datei X mit dem angegebenen Hashwert auf meinem System nicht existiert.

Danach zweifel ich die IP-Adresse an, weil die Rechteinhaber nur mit einer Kopie einer Datenauskunft arbeitet, die

  1. durch eine unabhängige Stelle nicht mehr nachprüfbar ist, weil das Original vernichtet wurde (siehe Transparenzbericht Telekom);
  2. weshalb auch Fehler im Export des Datensatzes nicht nachprüfbar sind;
  3. die Manipulation des Beweises durch den Abmahner durch fehlendes Original nicht ausgeschlossen werden kann;
  4. durch den fehlenden Originaldatensatz eine Prüfung auf Fehler durch die Datenverarbeitung des Abmahners nicht möglich ist;
    Bei Möglichkeit:
  5. und ich mind. eine weitere Person benennen könnte, die in der Zeit Zugang zum Internet über meinen Anschluss hatten, weshalb die Störerhaftung vielleicht nicht greifen kann.

Sollten die Abmahner weitere Probleme machen, ist es natürlich noch möglich sie aufzufordern das Datenexportprotokoll des Providers vorzulegen, inklusive der lückenlosen Dokumentation der Datenermittlung durch den Abmahner, den Quellcode der Software inklusive Testversion, den Originaldatenträger des Providers, die Zustellungsdokumente inklusive Transportwegedokumentation (Wo jeder, der es in der Hand hatte, unterschrieben hat!) und natürlich die eigene Urheber-Ermittlungs-EDV , um deren Technik forensisch untersuchen zu lassen. :c)

Sie haben aber keinen Zugriff auf die Originaldaten und auf die Systeme der angeblichen Rechteverletzer. Und die eigenen vielleicht virenverseuchten und möglicherweise auch mit Raubkopien bestückten Rechner geben die Jungs nicht her. (PS: Einige Unternehmen arbeiten so!) Und zusätzlich sollte man bei der Telekom nachfragen, wann eine mögliche forensische Untersuchung auf deren Systemen möglich ist. Wahrscheinlich wird man jedoch nur die Information erhalten, dass die Daten bereits gelöscht wurden und man keinen Zugang erhält. Die Beweise sind weg und nicht mehr prüfbar.

 

Jemandem Urheberrechtsverletzungen vorzuwerfen, ist Glücksspiel. Der finanzielle Einsatz für die Rechteinhaber war bisher gering und die Möglichkeit einer Niederlage auch mal einkalkulierbar. Deshalb ist es wichtig sich mit allen Mitteln gegen diese Leute zu wehren. Die Ermittlung von IP-Adressen ist einfach. Die Korrektheit der dahinterstehenden Personendaten ist jedoch anzweifelbar, weil die originalen Daten-Beweise vernichtet werden oder unzugänglich sind.

Urheberrechtsverletzungen sind ohne Vorratsdatenspeicherung aus IT-forensischer Sicht nicht beweisbar, denn sie sind momentan nicht nachprüfbar und manipulationsanfällig. (Wobei ich einfüge, dass eine Vorratsdatenspeicherung wohl nicht für das Zivilrecht genutzt werden dürfte, sondern sich an StPO binden würde. Deshalb ist unter rechtsstaatlichen Aspekten das Urheberrecht mit einer Vorratsdatenspeicherung meiner Meinung nach nicht verknüpfbar.)

Alternativ sollte das Ziel sein, dass das Urheberrecht als Bestandteil des Zivilrechts an das Strafrecht angepasst werden müsste. Sprich: Der Abmahner muss nicht nur eine IP-Adresse erhaschen, sondern auch den Urheberrechtsverletzer bei der Tat erwischen. Da die Möglichkeiten dafür sehr sehr begrenzt sind, gäbe es dann wohl eher keine Abmahnungen mehr. Ein Umstand den wohl kaum jemand bedauern würde und gerade die Contentindustrie vielleicht dazu animieren könnte endlich wieder Qualität zu produzieren für die wir gerne Geld ausgeben würden.

 

PS: Ich habe einige Wochen benötigt für diesen Text. Wenn Ihr Fehler findet, könnt Ihr sie mir mitteilen, oder behalten. :) Anspruch auf Richtigkeit erhebe ich nicht.

 

Update 31.07.2014,  22:33 Uhr – Informationen aus der Praxis, die jetzt ziemlich ins Detail gehen und auch Urhebern helfen können, die berechtigte Forderungen stellen*:

Die 18 Euro werden pro Abfrage über maximal 10 IP-Adressen fällig; das verlangt jeder Provider.  D.h. wenn ich bei z.B. auch bei Hansenet 1-10 IP-Adressen zwecks Bestandsdaten anfrage, berechnet mir Hansenet 18 Euro.

Das Problem bei der T-Online-Kennung ist folgendes: Strafverfolgungsbehörden müssen bei einer Bestandsdatenabfrage bei der Telekom immer IP-Adresse, Zeitstempel, Zeitzone angeben, und zusätzlich nachfragen, wo der Splitter stand, über den die Internetverbindung aufgebaut wurde.

Vor Gericht läuft das so: Der Abmahner weißt dem Abgemahnten irgendwie nach, dass die Urheberrechtsverletzung über seinen Anschluss gelaufen ist und legt dabei die Bestandsdatenauskunft der Telekom vor. Der Abgemahnte erklärt vor Gericht den Unterschied zwischen T-Online-Benutzerkonto und physikalischem Standort des Telekom-Splitters. Und schon kann ihn ein Anwalt freihauen, weil bewiesen ist, (Diese Antwort bekommt man auch von der Telekom: Mit jeder T-Online-Kennung kann in Deutschland über einen beliebigen Telekom-Anschluss eine Internetverbindung aufgebaut werden) dass die Bestandsdaten die der Abmahner präsentiert nicht mit dem Anschluss überein stimmen müssen. Das Gericht kann einen ja schlecht verurteilen mit der Aussage: „Es kann sein, dass sie das waren….“ – Und zum Zeitpunkt eines Prozesses, (definitiv nach Ablauf der 7 Tage Speicherfrist) kann der Abmahner die zusätzliche Information (Telekom-Anschluss) auch nicht mehr einholen.

Die Abweichung zwischen Benutzerkonto und Anschluss gibt es mindestens bei T-Online und Hansenet (beim Mutterkonzern O2 besteht das Problem nicht, da funktioniert zur Einwahl nur die Kombination aus Anmeldedaten und Anschluss).

 

10 Kommentare IP-Adressabfragen bei Urheberrechtsverstößen und anderen Vergehen (Update)

  1. Sammiefox

    Bzgl den Loggerbuden hatte ich damals ja schon auf heise.de Beiträge verfasst, die belegen, dass die bekannten Abmahnanwälte ihre Loggerbuden meist unterm eigenem Dach haben, oder nur 2-3 Querstraßen weiter sind. Deren mafiöses Geschäftsmodell ist doch voll darauf aufgebaut. Das Spielchen hatten wir bei the-archive/itguards ja im Grunde auch. Nur teilten die sich öffentlich keine Geschäftsadresse – die war ja nur ein Briefkasten – dafür waren die Webmaster der angeblich “unabhängigen IP-Ermittler” die gleichen. Und nach diesem Prinzip scheint das überall so zu laufen.

    Siehe auch meine damaligen Recherchen im Heise-Forum:

    http://www.heise.de/newsticker/foren/S-Re-Diehl-Partner-distanziert-sich-mittlerweile-eindeutig-von-den-Abmahnern/forum-274062/msg-24753841/read/

    http://www.heise.de/newsticker/foren/S-Re-Diehl-Partner-distanziert-sich-mittlerweile-eindeutig-von-den-Abmahnern/forum-274062/msg-24756626/read/

    Wie dort zu sehen ist, hatte auch Urmann damals eine eigene Loggerbude in der Zeißstraße. Nur im Laufe der Zeit ändern sich Firmennamen, Adressen und Strohmänner, um nicht mehr ganz so auffällig zu agieren. Übers Handelsregister lässt sich aber so einiges biszu den Anfängen zurückverfolgen. Oftmals verschwinden solche Loggerbuden nach einer Abmahnwelle auch wieder und es wird bei Bedarf einfach eine neue mit anderen Strohmännern gegründet.

    Und glaub mir – da steckt Methode dahinter… ganz schlimm ists bei den Abmahnabwälten “Schutt & Waetke” aus Karlsruhe. Nicht nur, dass die wie bei Urmann und Sebastian auch ihre IP-Ermittler unter eigenen Dach haben. Da hab ich jetzt schon 5 verschiedene IP-Ermittler-Firmen aus Karlsruhe gefunden, die in ihren Abmahnungen erwähnt werden. Die MIG Film GmbH greift zB hingegen laut ihren Abmahnungen auf eine Logger-Bude namens “Maverick Eye UG”, aus Stuttgart zu (http://www.maverickeye.de) – aber auch deren Geschäftsführer stammt laut Handelsregister aus Karlsruhe. Scheinbar ist da irgend ein Nest, wo man ne Ausbildung zum Geschäftsführer einer Loggerbude machen kann. ^^ Würde aber drauf wetten, dass die alle die gleichen Hintermänner haben.

    Nur schade, dass man kaum Scans von Abmahnungen findet, wo die Loggerbuden alle genannt werden. Es sind aber nicht viele – aber auffällig ist es schon, dass jeder Loggerbude immer mit einer Kanzlei ganz in der Nähe zusammenarbeitet – und immer exklusiv – nie für irgend eine andere Kanzlei – das deutet für mich auch auf enge private Beziehungen hin.

    Und das ist sicher auch ein Themenpunkt, den man vor Gericht anzweifeln kann. Die meisten Loggerbuden haben nichtmal eine Webpräsenz oder Kontaktdaten, über die man sie erreichen oder ihre Dienste in Anspruch nehmen könnte. Das schaffen scheinbar nur die Abzockanwälte auf magische Weise. ^^

  2. jf

    Lass uns die verschiedenen Felder trennen.

    Schmuddelabmahnung ist allgemeines Risiko des Lebens. Die Kosten für die Verteidigung der Abmahnung trägt (mindestens zunächst) der Abgemahnte.
    Wer lässt sich schon gerne öffentlich blosstellen und bleibt dann auf mindestens einem Teil der Kosten sitzen. Abmahnung ist hier eine geniale Idee kaufmännisch zu verdeutlichen “bezahlen ist billiger”.

    Datenschutz und Herausgabe von Nutzerdaten durch Provider ein weiteres Thema. Hier kann es nicht sein, dass Daten herausgegeben werden, ohne den Betroffenen zu informieren. Hier fehlt es nach meiner Ansicht an gesetzlichen Grundlagen.
    Eine richterliche Haussuchung funktioniert ja auch nur bei Vorlage des Durchsuchungsbefehls. Mindestens eine Information des “Gefundenen” müssten zur Beweis bzw. Gegenbeweissicherung des Belasteten (Löschung der Nutzerdaten bei Provider und im eigenen Router) möglich sein.

    Weiter ist der technische Sachverhalt in diesem Zusammenhang wichtig. Solange Internet für Gerichte eine eher mystische Sache darstellt, wird es auch mit pseudowissenschaftlichen Angaben einen Anfangverdacht beachten.
    Hier war diese Seite eine der wenigen die überhaupt verwertbare Aussagen und Fakten brachte. Es wird aber nötig sein, das Timesharingverfahren der IP, Haschwerte, Timestamp, wirklich auf Eineindeutigkeit also auf Rückführbarkeit auf den Nutzer zu untersuchen. Klar – der Provider macht Zeitstempel; aber in welcher Toleranz. Wenn zwei oder mehrere Autos in eine Radarmessung fahren ist das als Beweis nicht verwertbar.

    Für mich ist also wesentlich, dass “irgendjemand” weiss, wie das Ganze funktioniert und wie die technischen Grenzen und Toleranzen aussehen.
    Insgesammt wäre IMPO notwendig das Ganze auf das Niveau “Sendung mit der Maus” zu stellen um auch einem Gericht begreiflich machen zu können, was da eigentlich stattfindet und welche Fehler auftreten können. Also wie und mit welcher Toleranz/Fehlerhäufigkeit solche Abfragen beim Provider überhaupt möglich sind.

    Dank an diese Seite für alle bisherigen Informationen zum Thema.

  3. Frank

    Hallo,
    Klemens hat zumindest gezeigt, dass man nicht alles einfach so hinnehmen muss. Man kann also versuchen, der Gegenseite Arbeit zu verschaffen, indem sie aufgefordert wird, Beweise zu erbringen. Ob das Gericht dieses so alles mitmachen kann/darf/wird, müssen die Einzelfälle zeigen.

    Wenn jemand wissentlich per Torrent, P2P oder was auch immer geschütztes Material verbreitet, so muss er mit Strafen rechnen. So ist die Gesetzeslage.

    Aber im Zusammenhang mit der in den Medien und der digitalen Welt kaum beachteten Redtube-Angelegenheit wäre es ein Weg, den angeblichen Rechteinhabern und deren Anwälten eine Menge Steine in den Weg zu legen. Bekommt man eine solch windige Abmahnung kann man versuchen über den Weg einer “negativen Feststellungsklage” in die Offensive zu gehen und die oben aufgeführten Argumente zu nutzen.

    Ein in den letzten Wochen immer mal wieder aufkommendes Argument zur Verteidigung ist die Anwesenheit mehrere Personen im Haushalt. Hat man diese “aufgeklärt”, oder wenn sie Erwachsen sind, steigen die Chancen. Wie es mit den angeblichen Freifunkern ist, habe ich noch nicht ganz verstanden. Aber offenbar hat sogar Walldorf/Frommer da schon einen Rückzieher gemacht (bevor das Gericht dort zu Gunsten der FF entscheidet.).

    Das alles kann aber nicht als Anleitung zum Gesetzesbruch dienen, mit dem Ziel, anschließend ungeschoren davon zu kommen. Wer geschütztes Material verbreitet, soll auch dafür büßen, wenn er erwischt wird. Alles im geordneten Rahmen, zu “fairen” Preisen.

    Außerdem muss ich hier einmal ein Lob aussprechen. Klemens macht sich, unentgeltlich und in seiner Freizeit, eine Menge Arbeit und bietet hier eine gute Grundlage, um sich in einigen Punkten zu “bilden” und auf gestellte Fragen habe ich immer eine umfassende Antwort erhalten.

    Schöne Grüße,
    Frank

  4. Marc

    jetzt kommen meine “Meckerer” (auch die bitte nur bewerten und dann löschen, wir müssen den Abmahnzockern nicht noch Munition liefern!):

    “Unabhängig vom Vorwurf, könnte ein Angeklagter seine eigenen Zweifel an der noch so guten Dokumentation nicht widerlegen.”
    Wäre das nicht auch der Job der StA? ;)
    Richtig sicher “Unabhängig vom Vorwurf, könnte ein Angeklagter seine eigenen Zweifel an der noch so guten Dokumentation nicht DARlegen.”

    “Wenn an einem Original eine korrekte forensische Untersuchung durchgeführt wird”
    Oxymoron.
    korrekte fU nutzen keine Originale

    “Also der Wert, der die Datei, die getauscht, oder angeboten wurde, eindeutig identifiziert.”
    Komma zwischen “getauscht, oder” zu viel.

    “unterstreicht eher die Hilflosigkeit die IP-Adressermittlung aufzuwerten”
    ???
    meinst Du “auszuwerten”?

    “Auch eine Fälschung der durch die Provider übermittelten Daten kann ab diesem Schritt nicht mehr kontrolliert werden, denn die originalen Daten wurden beim Provider offiziell gelöscht.”
    IMHO besser:
    “Auch eine Fälschung der durch die Provider übermittelten Daten oder ein Irrtum des Providers kann ab diesem Schritt nicht mehr kontrolliert werden, denn die originalen Daten wurden beim Provider offiziell gelöscht.”

    “Vor Gericht läuft das so: Der Abmahner weißt dem Abgemahnten irgendwie nach”
    *weist

    “dass die Bestandsdaten die der Abmahner präsentiert” –>
    “dass die Bestandsdaten, die der Abmahner präsentiert”

    “Das Gericht kann einen ja schlecht verurteilen” –>
    “Das Gericht kann Einen ja schlecht verurteilen”

    P.S. diesmal reale eMail, wenn auch anonym.

  5. Bernd

    Der ganze Artikel krankt daran, dass im Zivilprozess ganz andere Anforderungen an die Beweisführung gestellt werden als in Strafverfahren. Nach dem Vortrag des Klägers mit entsprechender Aussage des ISPs und einem Gutachten zur Funktion der eingesetzten Software, ist die Urheberrechtsverletzung zwar nicht bewiesen, als Anscheinsbeweis taugen diese Punkte aber allemal. Das heisst, dass der Beklagte nun darlegen muss, warum trotz des Anscheinsbeweises er nicht als Rechtsverletzer in Frage kommt (z.B. weil er zur angegebenen Zeit gar nicht zuhause war). Ein entsprechendes forensisches Gutachten, dass die fragliche Datei nicht auf dem Rechner gespeichert war, reicht da sicher auch aus, aber dies muss der Beklagte beibringen und nicht der Kläger. Inwieweit ein solcher Gegenbeweis überhaupt erbracht werden kann, steht natürlich auf einem anderen Blatt, aber selbst die Umöglichkeit eines Gegenbeweises setzt den Anscheinsbeweis nicht außer Kraft.

    TLDR: Nette Theorie, aber vor Gericht bringt das leider nichts.

    1. Klemens Kowalski

      Ich kann das für eine Gerichtsverhandlung nicht beurteilen. Noch nicht erlebt. ABER: Wenn mir jemand ein Gutachten vor die Nase hält, greife ich es an! Wenn mir jemand eine angebliche IP-Ermittlung vor die Nase hält, dann greife ich das an. Nur auf meine Unschuld zu gehen, würde ich eher als Unterlassung sehen. In Bezug auf meine Verteidigungsstrategie. Deshalb stimme ich dieser Einschätzung als Nicht-Jurist nicht zu.

      1. Bernd

        Diese Sachen sind aber längst auf höchstrichterlicher Ebene ausdiskutiert (BGH I ZR 121/08). Um ein solches Gutachten angreifen zu können, benötigt es schon etwas mehr als pauschale Behauptungen, dass die Zuordnung der IP-Adresse nicht gesichert sei.

      2. Klemens Kowalski

        Zu dem Urteil hier die Pressemitteilung: http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2010&Sort=3&nr=51934&pos=0&anz=101 ! Ohne ordentliche Beweisaufnahme kann ich als Abgemahnter behaupten ein WLAN zu besitzen. Es gibt immerhin auch noch Kabel-LANs. Ist auch irgendwie ziemlich wackelig. Und Möglichkeiten ein Gutachten anzugreifen, habe ich vorgeschlagen. Klar, dass das je nach Fall unterschiedlich gewichtet getan werden muss. Aber ich bleibe dabei, dass im Zivilrecht ALLES nur Behauptungen sein können, deren Grundlage jederzeit bezweifelt werden kann. :)

  6. Nico

    Danke für die Arbeit!

    Ich bewundere Leute die ihr Fachwissen und Können für die Allgmeinheit einsetzen!

  7. UnAbgemahnter

    Hallo,

    habe es erstmal nur überflogen, mag also evt. später noch “meckern”.
    Aber zuallererst: Vielen Dank für Deinen persönlichen Beitrag gegen den Abmahnwahn!
    Nun müssen wir den Text (Link hierher) nur noch verbreiten.

Kommentare sind geschlossen.