Die Abmahnindustrie – Beweise und Vorwürfe anzweifeln

Dieser Beitrag basiert auf eine Zuarbeit für die ZDF-Sendung ZOOM vom 27.05.2015 zum Thema Abmahnung.

Im vergangenen Jahrzehnt hat sich eine Industrie entwickelt, die ihr Geld auf eine zweifelhafte Art und Weise verdient. Mit Abmahnungen von Internetnutzern um Verstöße gegen das Urheberrecht im Internet zu verfolgen. Nicht, dass wir Urhebern ihre Einnahmen nicht gönnen wollen, denn auch kleinere und schwächere Leistungserbringer sind davon betroffen, aber die Beweiserhebung innerhalb eines Abmahnfalles kann aus technischer Sicht immer angezweifelt werden. Bisher präsentierte Beweise können mit einfachsten Mitteln selbst erstellt werden. Der Beschuldigte muss noch nicht einmal ansatzweise mit illegalen Aktivitäten in P2P-Tauschbörsen zu tun haben. Weiter

IP-Adressabfragen bei Urheberrechtsverstößen und anderen Vergehen (Update)

Im Rahmen der redtube-Affäre und den jährlich zu zehntausenden stattfindenden IP-Adressabfragen per Gericht, habe ich mir Gedanken darüber gemacht, wie die IP-Adressabfrage angezweifelt werden kann. Es ist jetzt also mein Ziel festzustellen, dass das bisherige Verfahren im Rahmen des Urheberrechts (aber auch andere), mögliche Urheberrechtsverletzungen mit Hilfe der IP-Adressermittlung und Abfrage der Nutzerdaten per Gerichtsbeschluss nachzuweisen, anzweifelbar ist, weil es den grundsätzlichen Abläufen der gerichtsfesten Sicherung von digitalen Beweisen nicht gerecht wird. Hierzu nutze ich u.a. die Grundsätze der Beweisaufnahme in der IT-Forensik. Ich bin zwar kein Gutachter, kein Anwalt und kein Polizist, aber entsprechende Schulungen habe ich absolviert und das Wissen konnte ich mir aneignen. Ich habe mir auch die Zeit genommen meine Tonnen an Daten zum Thema Forensik nochmal durchzuarbeiten. Es war für mich wie immer spannend.

Der Text spiegelt meine persönliche Meinung wieder und ist ein Denkanstoß für alle, die mit Vorwürfen kämpfen müssen, einen Urheberrechtsverstoß begangen zu haben, oder Vorwürfen ausgesetzt sind, die mit Hilfe einer IP-Adressabfrage untermauert werden. Der Text soll helfen sich zu verteidigen und die Richtigkeit der Beweiserhebung anzuzweifeln. Die Nutzung erfolgt auf eigene Gefahr. Es handelt sich in diesem Beitrag nicht um eine Rechtsberatung! Ich habe versucht so kurz und bündig zu schreiben, Fachbegriffe soweit möglich auszuschließen und den gesunden Menschenverstand anzusprechen. Ich vermeide soweit möglich alle fachspezifischen Dinge wie Paragrafen oder gewisses Fachvokabular, um es anschaulich zu schreiben. Ich habe zusätzlich mir übermittelte Erfahrungen aus der Polizeiarbeit einfließen lassen, die definitiv interessant sind und mindestens mir bisher unbekannte Einblicke gegeben haben. Nicht immer positiv. Entsprechende Infos aus Sicherheitskreisen sind mit einem simplen Sternchen am Satzende bzw. Absatz markiert.

Wie immer freuen mich Kritik, Änderungsideen oder weitergehender Stoff zum Thema. Aufgrund der Komplexität der Thematik bitte ich das manchmal stellenweise sprunghafte Schreiben zu entschuldigen.

 

Urheberrechtsgesetz und Abmahnungen

Erinnern wir uns warum es die Abmahnmöglichkeiten für Urheberrechtsinhaber gibt. Die Abmahnungen sollten, wie Autor Johannes Boie in der Süddeutschen zum redtube-Fall geschrieben hatte, Zitat: „… Gerichte entlasten und bewirken, dass kleine Streitereien ohne großes Getöse aus der Welt geschafft werden können.“ (http://www.sueddeutsche.de/digital/abmahnungen-fuer-urheberrechtsverletzungen-amandas-teure-geheimnisse-1.1844296). Um Streitigkeiten aber auf kurzem Wege beizulegen, müssen die Beweise, die eine Schuld unterstreichen, eindeutig und vom angeblichen Urheberrechtsverletzer nicht widerlegbar sein, mindestens aber für Gerichte so überzeugend, dass die Herausgabe der Personendaten zu einer IP-Adresse veranlasst werden kann. Vor Gericht kann sich dann tiefgreifender gestritten werden.

Das Problem mit dem Urheberrecht ist aber, dass die angeblichen Beweise durch private Seite erhoben werden. Der angebliche Beweis ist nur eine IP mit Zeitstempel, später verknüpft mit eben genannten Personendaten. Ab und zu wird noch mit dem Hash-Wert einer Datei jongliert.

Im Unterschied zum Strafrecht, wo die Sicherheitsbehörden die Tat nachweisen müssen, muss der Beschuldigte in einem Urheberrechtsverfahren im Zuge der Störerhaftung belegen nicht der Täter gewesen zu sein.

 

Beweisaufnahme in der IT-Forensik im Vergleich zu den Abläufen, die im Rahmen von Urheberrechtsverletzungen durchgeführt werden

Wie müssen wir uns den Ablauf der Beweissicherung im Rahmen einer forensischen Untersuchung vorstellen? Wie sieht die Beweiserhebung und Sicherung bei Urheberrechtsverletzungen aus? Die letzten Wochen hatte ich meine letzten ca. 5.000 MB Dokumente durchgearbeitet. Grundsätzlich ist das nicht in einer Seite zu beschreiben. Ich werde trotzdem versuchen die Grundzüge so leicht verständlich und nachvollziehbar zu erklären. Grundlage sind mein Schulungen hier (http://www.eccouncil.org/certification/computer-hacking-forensics-investigator) und hier (ähnlich = https://www.ifos-bund.de/bip/servlet/bakoev.VeranstBeschr?index=20806). Zusätzlich kommen, wie bereits erwähnt, einige Informationen aus Sicherheitskreisen.

 

Wie läuft die Beweiserhebung in der IT-Forensik?      

Als erstes muss die Identifizierung des IT-gestützten Verbrechens erfolgen. Entweder durch einen Betroffenen, der erkennt/bekennt Opfer eines bestimmten Verbrechens geworden zu sein, oder beispielsweise durch die Anzeige eines Betroffenen / Opfers, die die zuständige Dienststelle zu einer Einstufung hinreißen lässt.

Hinweise und Begründung der Anzeige werden dann bewertet, um die richtigen Schritte einzuleiten.

Wurden notwendige Schritte evaluiert, benötigen Strafverfolgungsbehörden einen Gerichtsbeschluss, um Beweise an/von einem Tatort aufzunehmen. Mindestens das System des Opfers kann jedoch freiwillig in die Hände der Behörde für weitere Untersuchungen gegeben werden.* Bei der IP-Adress-Beauskunftung wird ein Gerichtsbeschluss benötigt, um bei einem Provider Nutzerdaten für eine IP-Adresse zu erhalten. Eine polizeiliche IP-Auskunft läuft über ein Auskunftsersuchen nach §100j StPO.* Der Ermittler muss dazu nur die IP-Adresse und den entsprechenden Zeitstempel angeben.* Weitere Hürden sind nicht erforderlich. Bspw. stellt die Telekom der Polizei dann 18 Euro pro Auskunft in Rechnung.* (>>> Hier bitte Update unter dem Text beachten!!!) Eine Auskunft bei diesem Provider wird weiterhin nur innerhalb der meist siebentägigen Speicherfrist erteilt. Nach Gesprächen mit Beamten wurde aber auch dargelegt, dass bei schweren Straftaten auch darüber hinaus nach Bestandsdaten angefragt werden kann.* Daher ist davon auszugehen, dass mindestens genannter Provider inoffiziell wohl doch viel länger Bestands- und Verkehrsdaten speichert als offiziell angegeben.* Ob die Telekom zu deren Eigensicherung Daten für polizeiliche Abfragen länger speichert, kann auch nicht ausgeschlossen werden.* Zum Vergleich: Vodafone speichert technikbedingt im Höchstfall vier Stunden und stellt offiziell Niemandem Daten zur Verfügung.* (Klammern wir mal die Geheimdienstgeschichten aus.)

Abfragen wegen Urheberrechtsverletzungen werden von der Polizei schon lange nicht mehr gemacht. Urheberrecht ist Zivilrecht und daher von Seiten der Strafverfolgung irrelevant. Den Dienststellen ist es erst mal egal, wer welche Daten z.B. heruntergeladen bzw. hochgeladen hat. Ohne jemanden direkt bei der Tathandlung zu erwischen, ist es unmöglich festzustellen, wer der Täter war.* Sollten Anhaltspunkte zu Tauschsoftware gefunden werden, schaut man aber schon mehrmals hin.* Wenn bei Hausdurchsuchungen, die aufgrund von IP-Adressabfragen nötig wurden, in Haushalten mit mehreren Personen, die alle Zugriff auf IT-Systeme haben, durchgeführt werden, kann so leicht nichts bewiesen werden.* Ähnliches setzt sich mittlerweile in Urheberrechtsvorfällen durch, wenn der Beschuldigte mehrere Haushaltsangehörige benennen kann, die theoretisch und praktisch Zugang zum Internetanschluss haben. Diese müssen sich aber nicht selbst belasten.

(Beispiele:
http://www.anwalt24.de/beitraege-news/fachartikel/filesharing-urteil-zur-belehrungspflicht-des-anschlussinhabers-gegenueber-kindern;
http://www.domain-recht.de/domain-recht/stoererhaftung/storerhaftung-drei-urteile-zum-wlan-recht-63914.html;
http://www.anwalt.de/rechtstipps/abmahnung-der-kanzlei-kornmeier-partner-wegen-alle-farben-she-moves_061077.html;
http://www.anwalt24.de/beitraege-news/fachartikel/filesharing-in-wohngemeinschaft-ag-bochum-entlastet-anschlussinhaber
).

Kehren wir nach diesen spannenden Details zurück zur Beweiserhebung.

Eine Beweissicherung muss in der Regel an dem IT-Tatort durchgeführt werden. (Später noch eine Einschränkung am Beispiel der Telekom!) Also der Adresse, die bei einer IP-Auskunft herausgekommen ist. Dazu gehören auch bei forensischen Untersuchungen Fotos des Tatortes, also der eingesetzten Technik, der Anschlüsse, die verwendete Netzwerktopologie etc.! Zur Not eine Vor-Ort-Untersuchung, wenn IT-Geräte noch eingeschaltet sind. Freiwillig abgegebene Geräte vom Opfer kommen gleich in das forensische Labor. Aufgrund der mittlerweile vielfältigen IT-Technik ist ein Vor-Ort-Termin zwingend. Nicht selten sind USB-Speicher in kleinen unscheinbaren Dingen versteckt, wie Kugelschreiber oder Teddybären. Wer sich mal die Mühe gemacht hat spielerisch ein kompliziertes Netzwerk aufzubauen, kann selbst eine Hausdurchsuchung locker nehmen. Beispielsweise nenne ich mal einen solarbetriebenen RaspberryPI, der per WLAN irgendwo witterungsgeschützt im Garten versteckt wurde und die wichtigen Daten enthält. In einem Hackerexperiment war ich mal Zeuge davon mit einer entsprechenden Richt-Antenne ein Signal etwa einen Kilometer weit zu übertragen. Also ein WLAN, dass einen Durchsuchungsbeschluss für einen ganzen Stadtteil zur Folge haben müsste.

Strafverfolgungsbehörden müssten nun auch die selbst gesammelten Beweise in ein entsprechendes IT-Forensiklabor transportieren.

Von den Daten (Festplatten, Konfigurationsimage von Routern, Firewalls und anderen Geräten) müssen mindestens zwei forensische Kopien angefertigt werden. Mit dem Original darf nicht gearbeitet werden. Jeder Schritt, jeder ausgeführte Befehl, jeder Fehltritt, einfach ALLES muss dokumentiert werden. Sie müssen alles dokumentieren und einen Bericht erstellen, der eine Würdigung aller Beweise enthält. Die Prüfung des Berichtes durch eine unabhängige Stelle, anhand einer weiteren forensischen Untersuchung an einer der Kopien, muss zum selben Ergebnis kommen. (Dieser kleine Absatz ist eigentlich der Kern einer jeden IT-gestützten forensischen Untersuchung.)

Wenn Ihr also mal Opfer einer Beschlagnahmung werdet und im Zuge des Prozesses herauskommt, dass die zuständigen Ermittler mit den Originalgeräten gespielt haben, haben Sie gegen die Regeln verstoßen. (Dann sollte man nach Rückgabe das System auch plattmachen und neu betanken!) Solltet Ihr mal einen IT-Forensikbericht in der Hand halten, der sauber, fehlerfrei und konsequent zum Ziel kommt, dann könnt Ihr den zerreißen. Er ist zu 99% falsch. Das 1% überlasse ich mal den absoluten Genies. Den fehlerfreien Menschen unter uns. Entsprechende Berichte müssen alle nicht erfolgreichen Aktionen beschreiben. Wurde bspw. an einem System eine Live-Untersuchung durchgeführt (weil es eingeschaltet vorgefunden wurde) und fehlerhaft ausgeführte Befehle und Untersuchungen, die in eine Sackgasse führten, stehen nicht im Protokoll, ist die forensische Untersuchung fehlerhaft und kann das zu untersuchende System als Beweis untauglich gemacht haben.

Würden Strafverfolgungsbehörden Beweise bei Providern oder IT-Dienstleistern selbst erheben, können wir davon ausgehen, dass sie keine Datenträger oder Kopien mitnehmen, sondern nur eine Liveuntersuchung durchführen, da gerade bei großen Providern und IT-Dienstleistern mittlerweile im mehrstelligen Terrabytebereich Daten verarbeitet werden. Die kann man gar nicht mehr mitnehmen. Bei dem Terroristen von Nebenan, ist das in er Regel kein Problem. Sie müssen also selbst Zugriff auf die Datenbanken haben, um nur den benötigten Teil zu exportieren. Zusätzlich ist jeder Schritt durch die Behördenvertreter zu dokumentieren. Jeder genutzte Befehl, auch jeder falsche Befehl und Vertipper. Alles muss dokumentiert werden, damit eine andere unabhängige Stelle die Beweiserhebung nachvollziehen kann und anhand der Dokumentation bei einer Wiederholung zum selben Ergebnis kommt. Nur dann haben die Ermittler richtig gearbeitet. Gerade, wenn man mit Systemen arbeitet, von denen man keine 1 zu 1 Kopie erstellen kann, ist Gründlichkeit wichtig. Das Vier-Augen (+) Prinzip muss eingehalten werden. Der Weg des ausgewerteten Datensatzes, der als Beweis genutzt werden soll, aus der Datenbank bis in das forensische Labor, muss lückenlos festgehalten werden.

Aber tun das Sicherheitsbehörden?

Nein! Behörden lassen, wie oben bereits beschrieben, in der Regel die Arbeit im Rahmen von Datenabfragen zu IP-Adressen durch die Provider durchführen. Strafverfolgungsbehörden erheben bei Internetprovidern die IP-Adressauskünfte in der Regel nicht selbst.* Damit erledigen nichtstaatliche Stellen hoheitliche Aufgaben. Für mich ein Angriffspunkt auf die Datenerhebung. Anders ist es bei einer TKÜ-Maßnahme. Landeskriminalämter haben eigene Schnittstellen, um Daten bei den Providern umzuleiten / abzuleiten oder um die Daten anders zu erheben.*

Anschließend löschen die Provider die Daten, siehe Transparenzbericht der Telekom. (Sollten Sie es nicht tun, wäre das ein Fall für mindestens den internen Datenschutzbeauftragten.) Dieses Detail wird noch wichtig!

Was passiert sonst noch so? (Folgender Abschnitt bis zur Behandlung der Beweisaufnahme nach Urheberrecht musste überarbeitet werden.)

Ich erwähnte bereits, dass auch freiwillig abgegebene Systeme betroffen sein können. Hier kann es jedoch für die Sicherheitsbehörden zu Problemen kommen, wenn die Untersuchungen längere Zeit auf sich warten lassen. Personalmangel, zu viele Fälle, zu wenig Material. Wenn Betroffene Ihre Systeme freiwillig abgeben, aber mit den Geräten Ihr Geld verdienen müssen, so kann das Ärger nach sich ziehen. Wer hilft denn gerne, wenn die eigene Existenz bedroht ist, weil wichtige Geräte nicht genutzt werden können? Ein weiteres Problem sind beschlagnahmte Geräte von Personen oder Firmen, die ebenfalls und notwendigerweise das beschlagnahmte IT-Material benötigen. Nach 30 Tagen erhalten die Dienststellen die Aufforderung zur Rückgabe.* Das führt nach Informationen von Polizeibeamten dazu, dass auch mal mit den Originalgeräten und nicht mit forensischen Kopien gearbeitet wird. Hier nutzen sie dann einen notwendigen Schreibblocker, um Daten zu finden und den Datenträger nicht zu verändern.* Das wird in der Form vor Gericht anerkannt. Das soll nicht selten der Fall sein. Wer bspw. ein Originalsystem startet, verändert es! Arbeitsspeicher, Auslagerungsdateien, Logdateien und temporäre Dateien verändern sich durch einen Systemstart und das zu untersuchende System würde vom Originalbeweis abweichen. Damit Beschuldigte auch das Recht erhalten die Daten prüfen zu lassen, müsste trotzdem eine forensische Kopie gemacht werden (können). Natürlich können Untersuchungen auch aufgrund der Datenmenge erschwert werden. Wenn eine forensische Untersuchung einer bspw. voll gefüllten 10TB-Festplatte durchgeführt werden soll, dann frisst das ohne Ende Zeit, Personal und Technik. Das Protokoll dazu müsste 100.000e von Seiten lang sein. Forensische Kopien lassen sich hier nur noch schwer realisieren.

Wenn der Verteidiger von der Staatsanwaltschaft fordern würde, dass er einen Gutachter beauftragen möchte den Datenerhebungsvorgang beim Provider prüfen zu lassen, müsste der Staatsanwalt zugeben, dass das nicht möglich ist. Warum? Eine Wiederholung der Beweisermittlung ist nicht möglich, da an einem Originalsystem gearbeitet wurde, oder Daten bei Providern gelöscht wurden. Nur eine forensische Kopie, die unangetastet ist, ist ein Vorteil der jeder Anklage zu Gute kommt. Außer man hat sie sich nicht!

Beweisaufnahmen nach Strafrecht können unter Umständen angegriffen werden.

 

Wenn wir uns an die Geschichten über NSA, BND, Verfassungsschutz und GCHQ erinnern, würde ein falsches Vorgehen noch mehr Misstrauen gegen staatliche Stellen erzeugen. Wir wissen ja, dass Geheimdienste Programme zur Manipulation betreiben. Eine forensische Untersuchung nicht sauber durchzuführen und die Überprüfbarkeit nicht zu gewährleisten, kommt einer Manipulation gleich. Betroffene Polizeibeamte erzählten mir außerdem, dass es vor Gericht noch nie dazu gekommen ist, dass ein Verteidiger diesen Umstand angegriffen hat. Oft versuchen sie nur durch provokante Fragen den Zeugen (Forensiker) zu einer Reaktion zu verleiten, die seine Zeugenaussage in Zweifel zieht. Sie fänden es auch interessant, wenn es mal um diese Sache gehen würde. Es betrifft ja auch ihre eigene ArbeitQ* Ihre Besoldung!* Ihre technische Ausstattung!*

 

Machen wir weiter mit der Beweiserhebung nach dem Urheberrecht

Die Urheberrechtsverletzung wird durch den Urheber festgestellt. Das soll durch Software in P2P-Netzwerken geschehen, oder wie im redtube-Streamingfall mit anderen Mitteln. Der Urheber sichert sich die IP-Adresse derjenigen, die auf einem bestimmten Wege angeblich unerlaubt Daten kopiert, gestreamt, oder verteilt haben.

Das globale Problem der Urheberrechtsinhaber: Ihre Beweiserhebung (IP-Adressfeststellung) muss vor Gericht einer Prüfung standhalten. Sie müssen die genutzte Ermittlungssoftware offenlegen und den Erhebungsvorgang lückenlos dokumentieren. Der Beschuldigte darf keine Möglichkeit haben die Beweisermittlung anzuzweifeln, wenn die Abmahnung Erfolg haben soll. Bevor Adressdaten angefordert werden können, darf natürlich auch das Gericht nach ordentlicher Prüfung keine Zweifel haben. Beim redtube-Fall ist es am Ende u.a. daran gescheitert. Ich persönlich glaube, dass eine detailliertere Prüfung bei jedem Abmahnfall zum Scheitern führen würde. Warum?

Ein unüberwindliches Problem der Urheber ist die Tatsache, dass sie keine Beweissicherung bei angeblichen Urheberrechtsverletzern durchführen können, also bei deren IT-Systemen. Das könnten nur Strafverfolgungsbehörden. Die werden aber nicht tätig, weil Zivilrecht vorliegt. Grundsätzlich wäre das jedoch notwendig, um Beweise für den Rechtsverstoß zu unterstreichen. Eine IP-Adresse ist noch kein Beweis. In der Regel wird bei Abmahnungen nach Urheberrecht auch der Hashwert von Dateien angegeben. Also der Wert, der die Datei, die getauscht, oder angeboten wurde, eindeutig identifiziert. Wenn aber keine Untersuchung des IT-Systems des angeblichen Urheberrechtsverletzers stattfindet und eine entsprechende Datei mit diesem Hashwert damit nicht gefunden wird, ist die Hashwert-Geschichte völlig überflüssig und unterstreicht eher die Hilflosigkeit die IP-Adressermittlung aufzuwerten. Wenn ich einen Hashwert von Datei X auf dem Ermittlungssystem der Rechteinhaber errechne, dann muss ich auch auf dem System des angeblichen Rechteverletzers eine Datei X mit diesem Hashwert finden. Können sie aber nicht. Sie haben eben keine Anzeige erstatten können und die Strafverfolgungsbehörden haben keine IT-forensische Untersuchung durchgeführt. Warum sollten sie auch? Es ist nicht nur Zivilrecht, auch der Streitwert ist in den meisten Einzelfällen zu gering. So ist im Grunde von jedem Abmahner nur die Behauptung aufgestellt, dass die Datei X mit dem bestimmten Hashwert von der IP XXX heruntergeladen bzw. zum Tausch angeboten wurde und sich auf dem System des angeblichen Urheberrechtsverletzers befindet. Immer ein Schuss ins Blaue!

Und die Personendaten hinter der IP-Adresse? Die Urheber benötigen einen Gerichtsbeschluss der die Provider auffordert Adressdaten zu IP-Adressen herauszugeben. Sie müssen das begründen. Aufgrund dieser Begründung entscheidet dann das Gericht, ob ein Anspruch vorhanden sein könnte. Eingesetzte Software, Firmen und technische Verfahren müssen so dargeboten werden, dass keine Zweifel entstehen können. Der Hashwert war bspw. auch Bestandteil der Begründung des Auskunftsantrages im redtube-Fall. Ohne Zugriff auf das System des angeblichen Urheberrechtsverletzers spielt der Hashwert aber schlicht keine Rolle. Die Begründung des Antrages zur Herausgabe der Adressdaten hinter einer IP-Adresse muss so konkret sein, dass die Beweisermittlung nicht anzweifelbar ist. Der redtube-Fall war bereits ein grandioses Märchen. Hier war die fehlerhafte Beschreibung der Funktionsweise der Software dafür maßgeblich, dass sich das Gericht getäuscht fühlte. Die Nachprüfbarkeit der IP-Adressermittlung wäre nicht möglich gewesen. Die Akteure zu undurchsichtig. Die Software nicht vorhanden. Die Ermittlungssoftware der Abmahner muss also in Ihrer Funktionsweise überprüfbar sein. Kennt jemand eine offiziell zertifizierte und/oder offengelegte Software?

Und wenn das Gericht doch von irgendwas überzeugt ist? Mit dem Gerichtsbeschluss erhalten die Urheberrechtsinhaber nun die Adressdaten der Person hinter einer IP-Adresse zum angegebenen Zeitpunkt. Die Herausgabe erfolgt durch den Provider in einem eigens festgelegten Verfahren. Bei der Telekom gibt es die Besonderheit, dass die IP-Adressen einer T-Online-Kennung zugeordnet werden und nicht einem Anschlussinhaber.* Oben habe ich darauf hingewiesen, dass es hier eine Besonderheit gibt. Hier bitte auch das Update unter dem Text beachten! Ähnlich müsste es bei 1&1 laufen. Das ist dahingehend spannend, wenn ein Telekom-Kunde in München Besuch von einem Telekom-Kunden aus Hamburg hatte. Der Hamburger kann sich in München mit seinen Daten anmelden. Macht der Münchener jetzt aber Blödsinn, bekommt der Hamburger die unangenehme Post. Telekom-Kunden sind irgendwie ziemlich gut überwacht. Egal an welchem Telekom-Zugangspunkt sie sich befinden. Ich weiß nicht, ob sie sich gegenseitig Deckung geben können, weil sich niemand selbst belasten muss, oder diese Art der Identifizierung vor Gericht als eindeutig angesehen wird. Bitte das Update am Ende des textes beachten!* Im redtube-Fall haben sich viele Betroffene gewundert warum Ihre T-Onlinekennung auf der Abmahnung mit angegeben wurde. Jetzt wissen wir es. Der Missbrauch einer T-Onlinekennung kann also auch Ursache für eine Abmahnung sein. Betroffene Telekomkunden sollten prüfen, ob Ihre Daten nicht auch in andere Hände gelangt sein könnten. Gehackte Router oder Fritzboxen (der Telekom), verschwundene Briefe nach Einbrüchen etc.?    *:c)*     Wer weiß das schon? Ausschließen darf man heute gar nichts mehr!

Wie funktioniert das Zusammenspiel zwischen Urheber und Provider?

Urheber können die Daten der Provider nicht selbst auslesen. Urheber, die aufgrund eines Gerichtsbeschlusses einen Datensatz erhalten, stützen sich nur auf diese Daten, die sie bekommen haben. Hier finden wir jedoch das gleiche Problem, wie oben beschrieben: Laut Transparenzbericht der Telekom werden die Datenbankabfragen durch zwei Mitarbeiter durchgeführt. Das Vier-Augenprinzip ist gut und richtig. Damit sichert sich der Provider ab! Ob Abmahner auch 18 Euro pro Anfrage an die Telekom zahlen müssen, wäre interessant zu wissen! Aber, hier kommen wir zu dem Punkt zurück auf den ich bereits mit meinem Beispiel mit dem Verteidiger und Staatsanwalt hinweisen wollte und den Strafverfolgungsbehörden: Der Provider löscht die Daten anschließend! (Siehe Transparenzbericht der Telekom.) Einmal in der originalen Datenbank, weil es keine Pflicht zum langfristigen Speichern gibt (keine Vorratsdatenspeicherung) und weil keine Rechtsgrundlage (Datenschutz) zur längerfristigen Speicherung dieser abgefragten Daten existiert. (Außer sie speichern zur Eigensicherung doch und sagen es nur nicht.) Gehen wir davon aus, dass gelöscht wird. Das ist offiziell!

Und dieser Ablauf ist jetzt das Problem der Urheber. (Grundsätzlich würde ich sogar behaupten, dass es auch ein Problem für Strafverfolgungsbehörden ist!)

 

Wiederholbarkeit

In der IT-Forensik muss jeder Beweis bei korrekter Sicherung der digitalen Spuren und korrekter Dokumentation der Beweiserhebung nachvollzogen werden können und muss anhand einer forensischen Kopie wiederholbar sein!!! In unserem Fall ist das nicht so. Die originalen Beweise als Datensatz werden offiziell nach der Bestandsdatenabfrage bei Urheberrechtsverletzungsgeschichten vernichtet.  (Und bei Strafermittlungen wahrscheinlich auch.). Damit kann ein Beschuldigter anzweifeln, dass in unserem Beispiel die Telekom die Daten korrekt exportiert hat. Auch eine Fälschung der durch die Provider übermittelten Daten kann ab diesem Schritt nicht mehr kontrolliert werden, denn die originalen Daten wurden beim Provider offiziell gelöscht. Damit wird dem angeblichen Urheberrechtsverletzer die Möglichkeit genommen eine eigene Prüfung der originalen Daten vorzunehmen, oder vornehmen zu lassen, um seine Unschuld zu beweisen, wenn er im Rahmen der Störerhaftung nicht nachweisen oder glaubhaft machen kann, dass auch andere Zugang zum System hatten. Das Verfahren ist fehlerhaft und kann zu Ungunsten einer Partei missbraucht werden. Strafermittlungsbehörden haben sicher einen Vorteil aufgrund von Laufzettel und innerer Organisation etc., aber Urheber haben keine Beweise, sondern nur eine Sammlung nicht mehr überprüfbarer Behauptungen.

Stellt Euch vor in einem Mordfall wird die Tatwaffe und die DNA des Täters gefunden. Nach der Beweisaufnahme am Tatort durch die Strafverfolgungsbehörden werden die Beweise vernichtet. Vor Gericht kommt der Mörder frei, weil niemand mehr beweisen kann, dass die DNA des Angeklagten gefunden und die Tatwaffe ihm nicht mehr zugeordnet werden konnte. Der Täter hat den Beweis angezweifelt und der Ankläger selbst konnte nur auf nicht mehr existente Beweise verweisen. Das negative Echo wäre gigantisch. Beweise im Urheberrecht werden hingegen akzeptiert, obwohl sie grundsätzlich niemand nachprüfen kann.

 

Wenn ich also eine Abmahnung erhalte mit:

Sie hatten die IP: XXX.XXX.XXX.XXX ; am: XX.XX.XXXX ; um: XX:XX:XX Uhr und haben die Datei XXX_Abmahner_hash_mich_XXX.MP4 mit dem Hashwert XXXXXXXXXXXXXXXXXX zum Tausch in einer Tauschbörse angeboten, gestreamt oder unerlaubte Kopien auf dem Jupitermond Europa verteilt,

dann zweifel ich den Hashwert an, weil, eine Datei X mit dem angegebenen Hashwert auf meinem System nicht existiert.

Danach zweifel ich die IP-Adresse an, weil die Rechteinhaber nur mit einer Kopie einer Datenauskunft arbeitet, die

  1. durch eine unabhängige Stelle nicht mehr nachprüfbar ist, weil das Original vernichtet wurde (siehe Transparenzbericht Telekom);
  2. weshalb auch Fehler im Export des Datensatzes nicht nachprüfbar sind;
  3. die Manipulation des Beweises durch den Abmahner durch fehlendes Original nicht ausgeschlossen werden kann;
  4. durch den fehlenden Originaldatensatz eine Prüfung auf Fehler durch die Datenverarbeitung des Abmahners nicht möglich ist;
    Bei Möglichkeit:
  5. und ich mind. eine weitere Person benennen könnte, die in der Zeit Zugang zum Internet über meinen Anschluss hatten, weshalb die Störerhaftung vielleicht nicht greifen kann.

Sollten die Abmahner weitere Probleme machen, ist es natürlich noch möglich sie aufzufordern das Datenexportprotokoll des Providers vorzulegen, inklusive der lückenlosen Dokumentation der Datenermittlung durch den Abmahner, den Quellcode der Software inklusive Testversion, den Originaldatenträger des Providers, die Zustellungsdokumente inklusive Transportwegedokumentation (Wo jeder, der es in der Hand hatte, unterschrieben hat!) und natürlich die eigene Urheber-Ermittlungs-EDV , um deren Technik forensisch untersuchen zu lassen. :c)

Sie haben aber keinen Zugriff auf die Originaldaten und auf die Systeme der angeblichen Rechteverletzer. Und die eigenen vielleicht virenverseuchten und möglicherweise auch mit Raubkopien bestückten Rechner geben die Jungs nicht her. (PS: Einige Unternehmen arbeiten so!) Und zusätzlich sollte man bei der Telekom nachfragen, wann eine mögliche forensische Untersuchung auf deren Systemen möglich ist. Wahrscheinlich wird man jedoch nur die Information erhalten, dass die Daten bereits gelöscht wurden und man keinen Zugang erhält. Die Beweise sind weg und nicht mehr prüfbar.

 

Jemandem Urheberrechtsverletzungen vorzuwerfen, ist Glücksspiel. Der finanzielle Einsatz für die Rechteinhaber war bisher gering und die Möglichkeit einer Niederlage auch mal einkalkulierbar. Deshalb ist es wichtig sich mit allen Mitteln gegen diese Leute zu wehren. Die Ermittlung von IP-Adressen ist einfach. Die Korrektheit der dahinterstehenden Personendaten ist jedoch anzweifelbar, weil die originalen Daten-Beweise vernichtet werden oder unzugänglich sind.

Urheberrechtsverletzungen sind ohne Vorratsdatenspeicherung aus IT-forensischer Sicht nicht beweisbar, denn sie sind momentan nicht nachprüfbar und manipulationsanfällig. (Wobei ich einfüge, dass eine Vorratsdatenspeicherung wohl nicht für das Zivilrecht genutzt werden dürfte, sondern sich an StPO binden würde. Deshalb ist unter rechtsstaatlichen Aspekten das Urheberrecht mit einer Vorratsdatenspeicherung meiner Meinung nach nicht verknüpfbar.)

Alternativ sollte das Ziel sein, dass das Urheberrecht als Bestandteil des Zivilrechts an das Strafrecht angepasst werden müsste. Sprich: Der Abmahner muss nicht nur eine IP-Adresse erhaschen, sondern auch den Urheberrechtsverletzer bei der Tat erwischen. Da die Möglichkeiten dafür sehr sehr begrenzt sind, gäbe es dann wohl eher keine Abmahnungen mehr. Ein Umstand den wohl kaum jemand bedauern würde und gerade die Contentindustrie vielleicht dazu animieren könnte endlich wieder Qualität zu produzieren für die wir gerne Geld ausgeben würden.

 

PS: Ich habe einige Wochen benötigt für diesen Text. Wenn Ihr Fehler findet, könnt Ihr sie mir mitteilen, oder behalten. :) Anspruch auf Richtigkeit erhebe ich nicht.

 

Update 31.07.2014,  22:33 Uhr – Informationen aus der Praxis, die jetzt ziemlich ins Detail gehen und auch Urhebern helfen können, die berechtigte Forderungen stellen*:

Die 18 Euro werden pro Abfrage über maximal 10 IP-Adressen fällig; das verlangt jeder Provider.  D.h. wenn ich bei z.B. auch bei Hansenet 1-10 IP-Adressen zwecks Bestandsdaten anfrage, berechnet mir Hansenet 18 Euro.

Das Problem bei der T-Online-Kennung ist folgendes: Strafverfolgungsbehörden müssen bei einer Bestandsdatenabfrage bei der Telekom immer IP-Adresse, Zeitstempel, Zeitzone angeben, und zusätzlich nachfragen, wo der Splitter stand, über den die Internetverbindung aufgebaut wurde.

Vor Gericht läuft das so: Der Abmahner weißt dem Abgemahnten irgendwie nach, dass die Urheberrechtsverletzung über seinen Anschluss gelaufen ist und legt dabei die Bestandsdatenauskunft der Telekom vor. Der Abgemahnte erklärt vor Gericht den Unterschied zwischen T-Online-Benutzerkonto und physikalischem Standort des Telekom-Splitters. Und schon kann ihn ein Anwalt freihauen, weil bewiesen ist, (Diese Antwort bekommt man auch von der Telekom: Mit jeder T-Online-Kennung kann in Deutschland über einen beliebigen Telekom-Anschluss eine Internetverbindung aufgebaut werden) dass die Bestandsdaten die der Abmahner präsentiert nicht mit dem Anschluss überein stimmen müssen. Das Gericht kann einen ja schlecht verurteilen mit der Aussage: „Es kann sein, dass sie das waren….“ – Und zum Zeitpunkt eines Prozesses, (definitiv nach Ablauf der 7 Tage Speicherfrist) kann der Abmahner die zusätzliche Information (Telekom-Anschluss) auch nicht mehr einholen.

Die Abweichung zwischen Benutzerkonto und Anschluss gibt es mindestens bei T-Online und Hansenet (beim Mutterkonzern O2 besteht das Problem nicht, da funktioniert zur Einwahl nur die Kombination aus Anmeldedaten und Anschluss).