11. März 2021

Fingerabdruck mit digitalen Zahlen im Hintergrund

Serie "Online Enforcement" (Nr. 7)

Das Schweizer Recht wurde kürzlich in zwei Punkten revidiert. Beide Änderungen beschlagen den Datenschutz und haben unmittelbare Auswirkungen auf die Verfolgung von Rechtsverletzungen online.

Einerseits dürfen IP-Adressen seit dem 1. April 2020 zur Pirateriebekämpfung (wieder) bearbeitet werden – andererseits werden seit dem 1. Januar 2021 hinsichtlich .ch-Domainnamen keine Personendaten mehr im WHOIS publiziert. Dieser Artikel befasst sich mit der ersten Änderung. Die Kommentierung der zweiten Änderung folgt in Teil 2.


Teil 1: Stärkeres Mittel zur Pirateriebekämpfung im Urheberrecht zu Lasten des Datenschutzes

Das Schweizer Urheberrecht legalisiert die Dokumentierung von IP-Adressen von Urheberrechtsverletzern und gibt damit den Rechtsinhabern ein stärkeres Mittel zur Pirateriebekämpfung in die Hand. Allerdings hinkt der neu geschaffene Art. 77i URG bereits wieder der heutigen (Streaming-)Realität hinterher.

Worum es geht

Rechtsinhaber sehen sich bei der Verfolgung von Urheberrechtsverletzungen online nicht selten mit der Schwierigkeit konfrontiert, dass sie zwar eine Verletzung erkennen können, aber nicht an die Identität der Verletzer gelangen. Regelmässig verfügen die Websites mit dem urheberrechtsverletzenden Material über kein Impressum (über das die für die Inhalte verantwortliche Person ausfindig gemacht und abgemahnt werden könnte) oder aber Abmahnungen werden schlicht ignoriert.

Analoge Schwierigkeiten entstehen, wo Rechtsverletzungen nicht über eine Website erfolgen, sondern sog. Peer-to-Peer (P2P)-Netzwerke (mit spezieller Software direkt miteinander vernetzte private Computer) urheberrechtsverletzend für den Austausch von Inhalten verwendet werden.

In diesen Fällen bleibt Rechtsinhabern für die Identifikation und Verfolgung der Verantwortlichen letztlich nur der strafrechtliche Weg.

Ausgangspunkt für eine entsprechende Identifikation ist die Internet-Protokoll-Adresse (IP-Adresse). Diese Adresse wird an das Internet angebundenen Geräten zugewiesen, und macht sie so adressier- und damit erreichbar. Statische IP-Adressen sind fix an einen Computer oder Server einer Webseite vergeben, und als solche vergleichbar mit der festen Telefonnummer oder der Postadresse einer Person. Dynamische IP-Adressen hingegen können stetig ändern. Ein Router, der sich mit dem Internet verbindet, erhält eine im betreffenden Zeitpunkt nicht anderweitig verwendete IP-Adresse zugewiesen. Erfolgt später eine neue Einwahl, erhält er (unter Umständen) eine andere (dann wiederum freie) IP-Adresse. Internet-Service-Provider (ISP) sind gesetzlich verpflichtet, die Vergabe der IP-Adressen an ihre Kunden zu protokollieren, womit ermittelt werden kann, wem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war.

Weil ein ISP einem privaten Internetnutzer grundsätzlich eine dynamische IP-Adresse zuweist, und diese regelmässig wechselt, benötigen die Strafverfolgungsbehörden für die Identifikation des jeweiligen Anschlussinhabers (und letztlich für die Verfolgung einer bestimmten Urheberrechtsverletzung) nicht nur die mit der Verletzung zusammenhängende IP-Adresse, sondern auch Angaben über Datum und Uhrzeit der Verletzung.

Die Rechtsinhaber müssen für eine effektive Rechtsdurchsetzung deshalb nicht nur das verletzte Werk identifizieren, sondern auch Datum und Uhrzeit der Verletzung und die jeweilige IP-Adresse dokumentieren.

Diese Dokumentierung war zuletzt jedoch mit Unsicherheiten behaftet, und die im Schweizer Urheberrecht enthaltenen rechtlichen Instrumente zur Pirateriebekämpfung ungenügend.

Das "Logistep"-Urteil des Schweizerischen Bundesgerichts und die Bedenken des US-Handelsbeauftragten

Gemäss Urteil des Schweizerischen Bundesgerichts vom 8. September 2010 (BGE 136 II 508 ff. [524], E. 6.3.3, "Logistep") war die Dokumentierung von IP-Adressen durch Rechtsinhaber bis vor kurzem nicht mit dem Datenschutzgesetz (DSG) vereinbar, und damit widerrechtlich. Die gestützt auf diese widerrechtliche Datenbearbeitung gewonnenen Informationen waren in der Konsequenz im Strafverfahren nicht verwertbar. Das Bundesgericht hatte im erwähnten Urteil festgehalten, dass, ein "den neuen Technologien entsprechende[r] Urheberrechtsschutz" auf dem Gesetzesweg (und nicht durch Rechtsprechung) erfolgen müsste.

Mit Artikel 77i des Urheberrechtsgesetzes (URG) hat der Schweizer Gesetzgeber für die erwähnte Datenbearbeitung nun eine explizite gesetzliche Grundlage geschaffen.

Der Schweizer Gesetzgeber adressiert mit den implementierten Massnahmen zur Pirateriebekämpfung auch Bedenken des US-Handelsbeauftragten, die dieser im sog. Special-301-Report von 2016 geäussert hatte. Dieser jährliche Bericht über den weltweiten Schutz von Immaterialgüterrechten enthält u.a. eine sog. Watch List, in der Staaten aufgeführt werden, die aus Sicht der USA Defizite beim Schutz von Immaterialgüterrechten aufweisen. Auf Verlangen der US-Urheberrechtsindustrie wurde die Schweiz (im Bereich Online-Piraterie in einem Zug genannt mit China, Russland, Ukraine, Indien, Brasilien und Kanada) 2016 erstmals auf diese Watch List gesetzt und blieb dort bis im April 2020. Auch wenn dies keine unmittelbaren rechtlichen, politischen oder wirtschaftlichen Folgen hatte, so belastete dies jedenfalls die bilateralen Beziehungen zwischen der Schweiz und den USA. Im letzten Special-301-Report von 2020 wurde die Schweiz nun von der Watch List entfernt.

Die neue gesetzliche Grundlage

Mit dem neuen Artikel 77i URG hat der Schweizer Gesetzgeber eine gesetzliche Grundlage für die Bearbeitung von Personendaten von Urheberrechtsverletzern geschaffen. Art. 77i URG lautet wie folgt:

  1. Die Rechtsinhaber und -inhaberinnen, die in ihren Urheberrechten oder in ihren verwandten Schutzrechten verletzt werden, dürfen Personendaten bearbeiten, soweit dies zum Zweck der Strafantragsstellung oder der Strafanzeigeerstattung notwendig ist und sie rechtmässig darauf zugreifen können. Sie dürfen diese Daten auch für die adhäsionsweise Geltendmachung von zivilrechtlichen Ansprüchen oder für deren Geltendmachung nach abgeschlossenem Strafverfahren verwenden.
  2. Sie haben den Zweck der Datenbearbeitung, die Art der bearbeiteten Daten und den Umfang der Datenbearbeitung offenzulegen.
  3. Sie dürfen die Personendaten nach Absatz 1 nicht mit Daten verknüpfen, die zu anderen Zwecken gesammelt wurden.

Bearbeitung von Personendaten

Als Personendaten i.S.v. Art. 77i Abs. 1 URG gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Soweit IP-Adressen eindeutig einem Rechner zugeordnet werden können und damit die Identifikation eines bestimmten Benutzers oder eines Benutzerkreises zulassen, handelt es sich um Personendaten.

Der Begriff der Bearbeitung ist i.S.v. Art. 3 lit. e DSG zu verstehen. Erfasst wird damit jeder Umgang mit Personendaten, wie das Beschaffen, Aufbewahren, Verwenden, Archivieren oder Bekanntgeben.

Kein Ausschluss der Personendatenbearbeitung zu anderen Zwecken und zur Verfolgung anderer Rechtsverletzungen

Artikel 77i ist eine spezifische Regelung für die Personendatenbearbeitung durch Rechtsinhaber zwecks Strafantragsstellung bzw. Strafanzeigeerstattung bei der Verletzung von Urheberrechten und verwandten Schutzrechten. Sind die Voraussetzungen dieser Bestimmung erfüllt, ist die mit der entsprechenden Datenbearbeitung einhergehende Persönlichkeitsverletzung i.S.v. Art. 13 Abs. 1 DSG "durch Gesetz gerechtfertigt" – eine Interessenabwägung i.S.v. Art. 13 Abs. 2 DSG erübrigt sich also.

Dies bedeutet umgekehrt nicht, dass dadurch eine Personendatenbearbeitung zu anderen Zwecken und zur Verfolgung anderer Rechtsverletzungen ausgeschlossen ist – diese (andere) Bearbeitung richtet sich einfach ausschliesslich nach dem DSG.

Rechtmässige Datenbeschaffung

Nach Art. 77i Abs. 1 URG dürfen Rechtsinhaber nur Personendaten bearbeiten, auf die sie "rechtmässig zugreifen" können.

Darin ist keine Rückverweisung auf die Personendatenbearbeitung gemäss DSG zu sehen. Vielmehr ist damit gemeint, dass die Personendaten nicht durch eine Verletzung von Bestimmungen des Schweizer Rechts (ausserhalb des DSG), die direkt oder indirekt den Persönlichkeitsschutz bezwecken (etwa Hacking i.S.v. Art 143bis des Strafgesetzbuches [StGB]), beschafft werden dürfen.

Rechtsinhaber

Gemäss Wortlaut von Art. 77i Abs. 1 URG können sich bloss "Rechtsinhaber und -inhaberinnen, die in ihren Urheberrechten oder in ihren verwandten Schutzrechten verletzt werden" auf diese Bestimmung berufen.

Über diesen Wortlaut hinaus kann ein Rechtsinhaber jedoch auch eine Drittpartei mit der Datenbearbeitung beauftragen (Art. 10a DSG). Zudem muss es gemäss teleologischer Auslegung (Gesetzeszweck der effektiven Pirateriebekämpfung) auch Rechtsvertretern von Rechtsinhabern – die ihrerseits (gemeinsam) Verantwortliche im datenschutzrechtlichen Sinne sind – möglich sein, Personendaten von Urheberrechtsverletzern zu bearbeiten.

Offenlegungspflicht

Nach Art. 77i Abs. 2 URG haben die Rechtsinhaber "den Zweck der Datenbearbeitung, die Art der bearbeiteten Daten und den Umfang der Datenbearbeitung offenzulegen".

Für die betroffene Person muss jede Art der Datenbeschaffung und der weiteren Datenbearbeitung erkennbar sein. Erkennbarkeit bedeutet, dass eine betroffene Person aus den Umständen heraus mit einer Datenbeschaffung rechnen musste oder dass sie entsprechend informiert bzw. aufgeklärt wurde.

Gemäss Botschaft des Schweizerischen Bundesrats vom 22. November 2017 zur Änderung des URG sowie zur Genehmigung zweier Abkommen der WIPO und zu deren Umsetzung (nachfolgend "Botschaft URG 2017"; S. 651) soll eine Offenlegung auf der Website des Datenbearbeiters (namentlich im Rahmen der Datenschutzerklärung) genügen. Ob die Piraten diese Informationen je sehen (was der Zweck von Art. 77i Abs. 2 URG eigentlich gebieten würde), darf bezweifelt werden.

Unter dem revidierten DSG (dessen Inkrafttreten 2022 geplant ist) unterstehen Verantwortliche im Übrigen einer weitergehenden Informationspflicht bei der Beschaffung von Personendaten (Art. 19 revDSG). Gestützt auf Art. 19 Abs. 1 lit. b revDSG entfällt diese Informationspflicht indes bei einer Personendatenbearbeitung i.S.v. Art. 77i URG. Und auch bei einer Personendatenbearbeitung, die zwar ebenfalls im Bereich der Pirateriebekämpfung, aber ausserhalb von Art. 77i URG erfolgt, dürfte regelmässig geltend gemacht werden können, die Information würde den Bearbeitungszweck vereiteln, weshalb die Informationspflicht nach Art. 19 revDSG gestützt auf Art. 19 Abs. 3 lit. b revDSG entfallen müsse.

Verhältnismässigkeitsprinzip

Die Personendatenbearbeitung muss gemäss Art. 77i Abs. 1 URG "zum Zweck der Strafantragsstellung oder der Strafanzeigeerstattung notwendig" sein.
Gemäss Botschaft URG 2017 dürfen die Rechtsinhaber damit nur jene Daten bearbeiten, "die sie objektiv tatsächlich benötigen und die mit Blick auf den Bearbeitungszweck und die Persönlichkeitsbeeinträchtigung in einem vernünftigen Verhältnis stehen."

Zunächst gilt festzuhalten, dass diese Bestimmung ausschliesslich auf die Bearbeitung von Personendaten anwendbar ist, die in einem Strafverfahren verwendet werden sollen. Die Bearbeitung von Personendaten ausserhalb dieses Zweckes richtet sich nach dem DSG.

In diesem Sinne dürfen Rechtsinhaber etwa IP-Adressen aus P2P-Netzwerken sammeln, um die begangenen Urheberrechtsverletzungen zu dokumentieren und diese Daten anschliessend den Strafverfolgungsbehörden übermitteln.

Welche Datenbearbeitungen noch "notwendig" in diesem Sinne sind (und welche nicht), wird sich in der Praxis zeigen müssen – es wird letztlich an den Strafverfolgungsbehörden/Gerichten liegen, die sich gegenüberstehenden Interessen sorgfältig abzuwägen und über die Verhältnismässigkeit (und damit über die Verwertung der erhobenen Daten im Strafverfahren) zu entscheiden. Klar erscheint jedoch, dass es nicht darauf ankommen darf, ob sich die Strafbehörden im Rahmen ihrer Untersuchungstätigkeit letztlich auf die betreffenden Personendaten stützen oder nicht. Ebenfalls klar erscheint, dass die Rechtsinhaber ihre Bearbeitung von Personendaten soweit wie möglich auf den mutmasslichen Täterkreis zu beschränken haben.

Verbot der Verknüpfung mit anderen Daten

Art. 77i Abs. 3 URG verankert den Zweckbindungsgrundsatz. Demnach dürfen Rechtsinhaber die bearbeiteten Personendaten nicht mit Daten verknüpfen, die zu anderen Zwecken gesammelt werden.

Sammelt ein Rechtsinhaber im selben Kontext auch Daten unabhängig von einem Strafverfahren und damit verbundenen zivilrechtlichen Ansprüchen, muss er diese Daten von den gemäss Art. 77i bearbeiteten Personendaten getrennt halten.

Keine Grundlage für die Bearbeitung von Personendaten zu zivilrechtlichen Zwecken

Keinen Eingang in das revidierte URG fand die umstrittene Bearbeitung von Personendaten durch Rechtsinhaber zu rein zivilrechtlichen Zwecken. Danach wäre es Rechtsinhabern möglich gewesen, über durch sie gesammelte Personendaten ausserhalb eines Strafverfahrens zur Identifikation von Personen zu gelangen, über deren Anschluss schwerwiegende Urheberrechtsverletzungen begangen wurden. Vorausgesetzt ist also stets die Verwendung im Rahmen eines Strafverfahrens.

Hintergrund ist, dass eine zusätzliche oder gar reine Lösung über den Zivilweg eine Durchbrechung des Fernmeldegeheimnisses zur Durchsetzung zivilrechtlicher Ansprüche erfordern würde. Nach heute geltendem Recht wird das Fernmeldegeheimnis jedoch nur zur Durchsetzung strafrechtlicher Ansprüche durchbrochen.

Ausdrücklich erlaubt ist aber die Verwendung der bearbeiteten Personendaten für die adhäsionsweise Geltendmachung zivilrechtlicher Ansprüche im Rahmen eines Strafverfahrens bzw. für deren Geltendmachung nach Abschluss des Strafverfahrens. Vorausgesetzt ist also stets ein Konnex zu einem Strafverfahren, mithin eine deliktische Anspruchsgrundlage für den Zivilanspruch.

Problem (nur) teilweise gelöst

Art. 77i URG schafft Raum für die (verdeckte) Sammlung von Personendaten zwecks Bekämpfung der Piraterie im Bereich Urheberrecht. Dies jedoch stets nur im Zusammenhang mit einem Strafverfahren.

Der Gesetzgeber hatte bei der Schaffung von Art. 77i URG primär den "Logistep"-Fall, und damit die Bekämpfung von Urheberrechtsverletzungen in P2P-Netzwerken, vor Augen.

Der "Logistep"-Fall entspricht jedoch nicht mehr der heutigen Realität: Auch wenn P2P-Netzwerke noch immer existieren, erfolgt die Verbreitung illegaler Inhalte heute sehr viel äufiger via Streamingserver und Sharehoster.

Während bei Urheberrechtsverletzungen in P2P-Netzwerken bei den einzelnen Teilnehmern (IP-Adressen) angesetzt werden kann, können sich die User beim Streaming bzw. beim Download über einen One-Click-Hoster weitgehend hinter den Streamingservern bzw. Sharehostern verstecken, die die IP-Adressen der User horten. Diese liegen regelmässig fernab der Schweizer Gerichtsbarkeit und die entsprechenden Anbieter haben kein Interesse, die IP-Adressen länger als nötig zu speichern.

Immerhin: Es sind auch andere Fälle dankbar, in denen sich die Personendatenbearbeitung auf Art. 77i URG stützen lässt – so z.B. die im Rahmen der Pirateriebekämpfung erfolgende Datenbearbeitung durch eine private Anbieterin digitaler Forensik oder durch einen Branchenverband.

Fakt ist aber auch, dass es für Rechtsinhaber zunehmend schwieriger wird, die Verletzer zu identifizieren – nicht zuletzt auch infolge der kürzlichen Gesetzesänderung betreffend Nicht-Publikation von Personendaten im WHOIS (vgl. Teil 2 dieses Artikels – folgt).

Weitere Informationen:

Unsere Serie "Online Enforcement" thematisiert Besonderheiten bei der Durchsetzung von Rechten im Internet.

Weitere Artikel aus der Serie:

Kategorien: Immaterialgüterrecht

You are currently offline. Some pages or content may fail to load.