BGH bestätigt: IP-Adressen können nach § 100 TKG für 7 Tage gespeichert werden

Im Jahr 2011 hatte der BGH entschieden, dass dynamische IP-Adressen durch den TK-Anbieter anlasslos zum Zwecke der Missbrauchsbekämpfung für bis zu 7 Tagen gespeichert werden dürfen (BGH, Urt. v. 13.1.2011 – III ZR 146/10, NJW 2011, 1509 (1510). Das OLG Frankfurt hatte sich dieser Auffassung angeschlossen (OLG Frankfurt, Urt. v. 28.8.2013 – 13 U 105/07, ZD 2013,614). Im Wege der Revision gegen dieses Urteil des OLG Frankfurt musste der BGH sich erneut mit der Frage befassen – und hat seine Einschätzung von 2011 nachdrücklich bestätigt (BGH, Urt. v. 3.7.2014 – III ZR 391/13, Volltext).

Insbesondere hatte der Revisionsführer vertreten, dass SPAM keine „Störung“ i.S.d. § 100 TKG darstelle, da die Systeme des TK-Anbieters ohne Beeinträchtigung funktionierten. Die Beeinträchtigung erfolge vielmehr erst durch die Entscheidung weiterer TK-Anbieter, die IP-Adressen, von denen der SPAM ausgeht, zu sperren. Das sei aber keine Störung des technischen Systems.

Dieser Auffassung hat der BGH eine Absage erteilt und versteht die Begriffe des „technischen Systems“ und der „Störung“ weit:

[Es] kommt eine Störung des „technischen Systems“ nach § 100 Abs. 1 TKG nicht nur in Betracht, wenn die physikalische Beschaffenheit der für die Telekommunikation verwendeten Gerätschaften verändert wird. Vielmehr liegt nach dem Zweck der Vorschrift eine Störung des Systems auch vor, wenn die eingesetzte Technik die ihr zugedachten Funktionen nicht mehr richtig oder vollständig erfüllen kann (Gramlich in Manssen, Telekommunikations- und Multimediarecht, C § 100 Rn. 16 [Stand: 8/08]; Kannenberg in Scheurle/Mayen, TKG, 2. Aufl., § 100 Rn. 6 f; Mozek in Säcker, TKG, 3. Aufl., § 100 Rn. 7). Entgegen der Ansicht der Revision tritt eine Funktionseinschränkung des technischen Systems der Beklagten auch dann ein, wenn einzelne ihrer IP-Nummern-bereiche von anderen Internetdiensten gesperrt werden. In diesem Fall sind die von diesen Anbietern unterhaltenen Web- und Mailserver für die Kunden der Beklagten nicht mehr erreichbar. Damit können deren technischen Einrichtungen und Systeme nicht mehr ihre Aufgabe erfüllen, den Nutzern den uneingeschränkten Zugang zu sämtlichen öffentlichen Angeboten im Internet zu verschaffen, wozu sich die Beklagte gegenüber ihren Kunden verpflichtet. Unmaßgeblich ist, dass die bei der Versendung von Schadprogrammen, Spams und dergleichen aus dem Netz der Beklagten drohende Sperrung ihrer IP-Kontingente durch andere Anbieter auf deren autonomer Entscheidung beruht. Die Blockierung der Nummernbereiche wird in diesen Fällen durch die aus der technischen Sphäre der Beklagten stammenden Missbräuche des Internets herausgefordert und stellt in der Regel eine verständliche und angemessene Reaktion der anderen Dienstanbieter zum Schutz ihrer Anlagen und Nutzer dar.

Weiter setzt sich der BGH mit Einwendungen aus dem Bereich des europäischen Sekundärrechts und auf Basis des Vorratsdatenspeicherungsurteils des EuGH (Urt. v. 8.4.2014 – C-293/12 u.a. – Digital Rights Ireland Ltd. u.a., BeckRS 2014, 80686) auseinander, verwirft diese aber.

Security Breach Notification – Meldepflicht(en) bei Router-Hacking?

Rechtliche Ausgangssituation

Die Regelung des § 109a TKG sieht vor, dass im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von der Verletzung zu benachrichtigen sind. Eine Verletzungshandlung liegt bei jedweder unrechtmäßigen Verwendung personenbezogener Daten (Bestands- und Verkehrsdaten) vor. Bei einer schwerwiegenden Verletzung sind zudem die Teilnehmer zu informieren. Weiter hat der Diensteanbieter nach § 93 Abs. 2 TKG in den Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und über mögliche Abhilfen zu unterrichten.

31. Jour Fixe Telekommunikation zu § 93 TKG

Im Rahmen des 31. Jour Fixe Telekommunikation der Bundesbeauftragten für Datenschutz und Informationssicherheit am 27.03.2014 wurde am Rande erörtert, inwieweit aufgrund von Presseberichten über Sicherheitslücken bei Routern für Diensteanbieter eine Meldepflicht gegenüber den Teilnehmern nach § 93 TKG besteht. Es wurde darauf hingewiesen, dass Kunden ohne automatisches Update der Routersoftware über die Gefahr informiert werden sollen. Ob eine datenschutzrechtliche Pflicht zur Information besteht, wurde dabei ausdrücklich offen gelassen.

Dafür, ob eine solche Pflicht besteht, kommt es auf die bisher ungeklärte Frage an, wo der Netzabschlusspunkt zu verorten ist. Ausschlaggebend ist insoweit, ob der Router noch Bestandteil des Netzes ist. Bisher nicht diskutiert wurde dabei die Frage, ob eine Informationspflicht auch aus § 241 Abs. 2 BGB folgen kann. Diese Frage wird hingegen im Zusammenhang mit der Pflicht zur sog. Fraud-Detection, also der Erkennung eines missbräuchlichen Verkehrsaufkommens, regelmäßig diskutiert (vgl. Schuster/Sassenberg, CR 2011, S. 15 (16)).

Folgen für Anbieter von WLAN-Hotspots

Eine Informationspflicht nach § 93 TKG wird für den Hotspot-Betreiber im Fall von Sicherheitslücken regelmäßig nicht gegeben sein. Die Ausgangssituation ist allerdings nicht mit dem „klassischen TK-Anbieter“ vergleichbar, da der WLAN-Router stets integraler Bestandteil des Netzes ist. Insofern ist eine Pflicht zur Information (zunächst) generell zu bejahen. Das Risiko der Verletzung der Netzsicherheit muss nach dem Wortlaut des § 93 Abs. 2 TKG allerdings noch bestehen („…Risiko der Verletzung der Netzsicherheit besteht,…“) und darf damit nicht – z.B. durch Updates – beseitigt worden sein. Dies wird aber nur dann der Fall sein, wenn der Betreiber den Hotspots nicht durch Updates absichern kann.

Für den Hotspot-Betreiber ist insofern insbesondere die Meldepflicht nach § 109a TKG von wesentlicher Bedeutung, welche allerdings eine Verletzung des Schutzes personenbezogener Daten – also das erfolgreiche Hacking eines Routers und den Zugriff auf Bestands- oder Verkehrsdaten – voraussetzt.

Sicherheitslücken in WLANs – Folgen für den Betrieb von WLANs

Ist ein WLAN erst einmal installiert und eingerichtet, stellt sich für den Betreiber die Frage, inwiefern er aktuelle Entwicklungen bei Sicherheitsstandards und beim Auftreten von Sicherheitslücken berücksichtigen muss.

I. Sicherheitslücken bestehen auch in WLAN-Geräten

Diese Frage ist durch eine Vielzahl 2013 und 2014 bekannt gewordener Lücken äußerst virulent geworden. So musste der Hersteller AVM einräumen, dass über praktisch die gesamte Produktpalette eine erhebliche Sicherheitslücke bestand. Aber auch andere Hersteller waren – von anderen nicht minder schweren Sicherheitslücken betroffen.

S. zu diesen Sicherheitslücken beispielhaft:

II. Missachtung von Sicherheitslücken kann Rechtsfolgen haben

Für Betreiber von (öffentlichen) WLANs kann durchaus eine Pflicht bestehen, Hinweise auf Sicherheitslücken zu verfolgen und bei Bedarf hierauf zu reagieren. Solche Pflichten können (regulatorisch) aus dem Telekommunikationsrecht (insb. § 109 TKG) stammen. Zusätzlich sind gegen Betreiber, die Lücken nicht rechtzeitig schließen, auch zivilrechtliche Ansprüche von Wettbewerbern, Nutzern oder geschädigten Dritten denkbar.

S. dazu im Einzelnen (insbesondere zum Umfang der jeweiligen Pflichten auch bei verschiedenen Betriebsmodellen):

III. Empfehlung

Es ist daher zu empfehlen, auf solche Sicherheitslücken zu achten, z.B. durch Abonnement des CERT-Newsletters des Bundesamts für Sicherheit in der Informationstechnik (BSI) folgen. Ggf. müssen Maßnahmen ergriffen werden. Auch sollte in regelmäßigen Abständen (min. 2x jährlich) überprüft werden, ob es Firmware-Updates für die im eigenen WLAN eingesetzten Geräte gibt.

Näher dazu: Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 156 ff.