Immer wieder werden private Ermittlungsunternehmen eingeschaltet, die mit Hilfe von dafür „zurechtgestrickter Software“ angeblich „rechtssicher ermitteln“ können sollen, was, wo, wann im Internet heruntergeladen worden sein soll.
Es bestehen jedoch erhebliche Anforderungen an die überprüfbare Darstellung der wesentlichen Grundlagen der Ermittlungen und hier liegt eine wesentliche Schwachstelle sämtlicher solcher Ermittlungen bereits auf technischer Ebene – und dies unabhängig von der Verwantwortungsebene, die davon handelt, ob der Anschlussinhaber überhaupt für die Geschehnisse über seinen Internetanschluss verantwortlich gemacht werden kann.
Diesbezüglich ist man seit 2010 nicht wesentlich weiter gekommen. Daher möchte ich in diesem Zusammenhang beginnen mit den seinerzeitigen Ausführungen des Sachverständigen Prof. Dr. Holger Morgenstern, Breslauer Straße 24, 72501 Gammertingen, der ganz umfassend und grundlegend die Anforderungen an eine IP-Ermittlungssoftware in einem Aufsatz darstellte. In dem seinerzeitigen Aufsatz „Zuverlässigkeit von IP-Adressen-Ermittlungssoftware“, Zeitschrift „Computer und Recht“, Jahrgang 2011, S. 203 ff., dessen Grundsätze noch heute im wesentlichen technische Gültigkeit haben, kam er bereits er zu dem bis heute gültigen Ergebnis , dass die ihm bekannten Verfahren zur Ermittlung sind nicht ausreichend beweissicher sind.
Er führt dies u.a. darauf zurück, dass regelmäßig keine unabhängige Kontrolle solcher Software und der Durchführung der Maßnahmen vorliegt, meist auch kein tatsächlicher ausreichend dokumentierter Zeitabgleich sowie oft auch keine Erfüllung der weiteren Einsatzvoraussetzungen solcher Software nach dem TKG gegeben ist.
Es fragt sich somit, warum sich nichts daran ändert, dass in Filesharing-Fällen i.d.R. nur die Fragmente von „Torrentdownloads“ (teilweise sogar nur „Verlinkungen“) in Klageschriften als vollständiger Download durch die Ermittlungssoftware der Anspruchsteller bezeichnet werden bzw. die „Downloads“ – oder die „Uploads“ einer Vielzahl von einer Dateipaketen, die z.B. einen ganzen Film beinhaltet haben sollen.
Es wird dazu bemerkt: Das wäre nach den Ausführungen eines anderen Sachverständigen, des Informatikers Homann, mit Blick auf die Filesharing-Systemimmanenten-Paketübermittlungen verschiedener Nutzer und zur Funktion eines Filesharing-Systems, offenbar geradezu „sensationell“, wenn das in den meisten Fällen gelänge. Dies ergibt sich zumeist schon aus dem Vortrag der jeweiligen Klägerin zwischen den Zeilen, die sich auf die Ermittlungen beruft.
denn die konkrete Darlegung der Ermittlungen in diesen Kernbereichen, nämlich hinsichtlich der Darstellung der konkreten auf den vorgeworfenen Einzelfall bezogenen Arbeitsweise und Überwachung der Software, die zudem den gesetzlichen und durch die höchsten Gerichte gesetzten Mindestanforderungen der Durchführung und Dokumentation aller Details während der konkreten Ermittlungen entsprach, dürfen Privatermittler zugunsten von „allgemeinen Erklärungen“ nicht schuldig bleiben.
Darüber können auch keine allgemeinen Gutachten beeindrucken, die ihrer Natur nach selbstverständlich lediglich bescheinigen können, dass eine bestimmte Ermittlungssoftware „ganz grundsätzlich funktionieren kann“.
Es bedarf vielmehr der Darlegung und Überprüfung aller Voraussetzungen, die die Ermittlungssoftware erfüllen muss und angeblich erfüllt hat – also einer einwandfrei und rechtmäßig funktionierenden Software im konkret vorgeworfenen Einzelfall mit der konkret vorgeworfenen vollständigen Datei.
Es fehlt leider hier oft bereits ein ausreichender Nachweis zu dem Inhalt und der Vollständigkeit der dem angeblichen Urheberrechtsverletzer konkret zugeordneten „Downloads“ bzw. des „Uploads“ der z.B. in Filesharingsfällen bemerkenswerterweise meist nur durch einen wenig aussagenden einfachen Internetlink und dessen Titel angegeben wird.
Hier muss auf einen konkreten Nachweis zu Inhalt und Vollständigkeit der angeblich diesem Link zugeordneten Filesharingdateien, die sich z.B. zu einer Filmdatei zusammenfügen sollten (Stichwort: Filesharingsystem mit Paketübermittlungen), bestanden werden.
Es wird dabei betont: Was in den meisten mir diesbezüglichen vorgelegten Abmahnungen und Klagen bis heute dargestellt wurde, war bereits keine konkrete Darstellung einer vollständigen Film-Datei sondern nur eine Verlinkung auf etwas, was als vollständige Datei (z.B. Film) behauptet wurde.
Man fragt sich dazu also als Verteidiger zu Recht, warum nicht z.B. die Filmdatei konkreter dargestellt wird, um die es geht und die zum Nachweis dieser Behauptung erforderlichen Daten, wie z.B. ein „Zeitstempel“ oder – auch höchst nachweisrelevant – der Weg der Filesharing-Datenpakete (aller Pakete, die eine Datei ergeben) von dem Beschuldigten nach „Irgendwohin“ (Upload) oder zum Ermittler von „Irgendwoher“ (Download) im Internet?
Dazu folgende Veranschaulichung: Es kann von Ermittlerseite zum konkreten Tatnachweis doch kein Tatwerkzeug beschrieben werden, mit den Erklärungen, dies sei ein Pfeil und der wird in einen Bogen gespannt und damit kann man auf jemanden schießen – und damit ein Tatnachweis geführt werden.
Es kann damit der Pfeiltreffer und der durch den Pfeil verursachte Schaden nicht bewiesen werden – auch wenn nachgewiesen wird, dass der Pfeil abgeschossen worden und irgendwo, wo wisse man aber nicht, eingeschlagen sei.
Dafür gibt es dann vielleicht auch noch ein allgemeines Betriebsgutachten zu Pfeil und Bogen, dass so ein Pfeil ganz grundsätzlich fliegen und auch treffen kann bzw. das zumindest mal konnte.
Dann stellt sich der so Beschuldigte wohl die berechtigte Frage nach dem Nachweis, dass ein konkreter Pfeil mit dem Bogen gerade von ihm abgeschossen worden sein soll und welchen Schaden er nachprüfbar schuldhaft und in welcher ganz konkreten Höhe verursacht haben soll. Ende der Veranschaulichung.
Es muss also, übertragen auf „Filesharing-Fälle“ – und das gilt insbesondere, wenn sich der Beschuldigte keinen Vorwurf zu machen hat – die konkrete Darlegung ALLER vorgeworfenen „Downloads“, ALLER angeblichen „Uploads“ und des Inhaltes der übermittelten Dateipakete sowie deren letztliche Funktionsfähigkeit mit einer einwandfrei funktionsfähigen und genauso einwandfrei bedienten Software, verlangt werden.
Alles andere wäre die Darstellung einer puren Vorstellung und Vermutung, welche lediglich ausgeschmückt und als vermeintliche Tatsache eingeklagt wird.
Ein allgemeiner Vortrag, eine Software arbeite (grundsätzlich) zuverlässig und die Ermittlungen seien daher manipulationssicher und sie führe eindeutig zum Beschuldigten des Downloads, ist nicht ausreichend für einen konkreten, vollendeten Tat- und Schadenshöhenachweis.
Die Fragen nach dem genauen und nachvollziehbaren Weg zum Ziel sowie dem Inhalt der mit der Ermittlungssoftware von deren Anwendern ermittelten Dateien, die im konkreten Einzelfall genau und rechtssicher dokumentierten Daten sowie die Zuverlässigkeit der Software bei der konkreten Ermittlung bleiben leider meist bereits in der Abmahnung schlicht auf der Strecke.
Zu den Anforderungen an die Darlegung der technischen Seite der Ermittlungen muss bemerkt werden, dass in Fachkreisen schon seit mindestens anno 2010 bekannt war, dass Zeitstempel und die sichere Dokumentation der Datensicherungen nur das absolute Minimum bzw. nur den Anfang einer ordentlichen Beweisführung darstellen.
Ebenso müsste weiter auf der technischen Seite u.a. auch das „Routing“ der vorgeworfenen Datenpakete sicher erfolgt und dokumentiert sein. Zu diesem sehr wichtigen Detail der Ermittlung einer IP-Adresse fehlt jedoch meist auch heute noch eine konkrete Darstellung.
Es reicht aber keinesfalls für einen Tatnachweis und die Geltendmachung von Schadensersatzansprüchen aus, dass man an eine Ermittlungssoftware “glaubt“ und im Zusammenhang mit der Software auch schon mal irgendwann irgendeine private Expertise/Privatgutachten eingeholt hat und die notwendigen Dokumentationen zur Darlegung der ordentlichen Durchführung der Ermittlungen im konkreten Einzelfall regelrecht verheimlicht werden!
Der konkrete Nachweis der sicheren Funktionsweise der Ermittlungssoftware und der Ermittlungsdurchführung, einschließlich ihrer Überwachung, müssen jedoch in jedem Einzelfall nach den Grundsätzen der Rechtsstaatlichkeit dargelegt und nachgewiesen werden; insbesondere wenn sie wie in den meisten Fällen, z.B. bei Downloadvorwürfen gegenüber einem Anschlussinhaber, von den Beschuldigten nicht nachvollzogen werden können. Denn vor allem zu Unrecht Beschuldigte können die Vorwurfsbehauptungen mit Daten, die ihnen nicht zugänglich sind und nicht zugänglich gemacht werden, überhaupt nicht nachvollziehen und sich dagegen ggf. weitergehend verteidigen.
Zur Bedeutung der technisch immanenten Fehler und Nachweisanforderungen bei der Zuordnung von IP-Adressen hinsichtlich der Sicherstellung der Eindeutigkeit des gerade für Beweisermittlungen in „Filesharing-Systemen“ hochrelevanten „BGP-Routing“, wird diesbezüglich grundlegender Fachartikel, bereits vom 13. Mai 2010, in der Zeitschrift CT Heise, unter Heise-Online, empfohlen, „IP-Adressen nur mit sicherem Routing eindeutig“. Seither hat sich an dem Vorgang der „Datenübertragung mit Routing“ an sich nicht viel geändert, sie ist einfach nur schneller geworden, aber die Datenfülle ist gewachsen und die Wege führen nun häufiger ferne Länder.
Ich möchte kurz die Essenz des vorgenannten Artikels für Filesharing damals wie heute zusammenfassen: Wenn man nicht die Kontrolle über die Server der Provider hat, über die die Datenströme laufen, kann eine Fehlermittlung schon technisch nicht völlig ausgeschlossen und eine Manipulationsfreiheit nicht gewährleistet werden.
Dies gilt umso mehr, als an der Erbringung von möglichst vielen Ermittlungsergebnissen mit Blick auf die Entlohnung interessierte private Ermittler im Lager von privaten IP-Ermittlern nicht – wie Strafverfolgungsbehörden mittlerweile bekanntermaßen – den Zugriff als „Mann in der Mitte“ („man in the middle attack“) mit einem gerichtlichen Telekommunikationsüberwachungsbeschluss haben.
Das heißt, dass die Privatermittler nicht zwischen den Providern und Internetknotenpunkten die gewünschten Daten abnehmen kann, sondern erst ganz hinter allen Providern – also wie ein Privatnutzer – hängt und in das weltweite Netz „hineinstochert“ – und dabei jedoch dann doppelte IP-Adressen, Leerdaten bzw. Rest-Ips und doppelte IP-Adressen mit ihrem Ermittlungsverfahren sicher ausschließen müsste.
Diese hier monierten Problematiken sind – wie man sieht nicht neu, werden aber gern in Prozessen als unstreitig „wegignoriert“. Doch bereits die folgende Rechtsprechung mahnte hier zur Konkretisierung und Überprüfung, als man sich seinerzeit schon dessen Gewahr wurde, wie unzureichend und fehlerbehaftet private IP-Ermittlungen in Filesharingverfahren aufgrund der Komplexität des Datenverkehrs allein auf technischer Seite sind:
Zitat LG Köln, Az. 109 – 1/08:
…
Die einzelnen Tathandlungen sind jeweils in einem einseitigen „Tatnachweis“ dokumentiert. Sämtliche Tatnachweise sind der Strafanzeige als Anlagenkonvolut A 2 in Form eines PDF-Dokumentes „Tatnachweise“ beigefügt.
Die genannten Tatnachweise – insgesamt circa 380 Seiten – erfassen jeweils unter einem bestimmten Datum (inklusive sekundengenauer Uhrzeit) Zugriffsdaten von Internetnutzern, nämlich den Provider, das P2P-Protokoll und die IP-Adresse sowie Angaben zur „getauschten“ Datei (File Name, File Hash, File Size). Aus den Daten der „getauschten Dateien“ – dem Hashwert – schließt die Antragstellerin darauf, dass es sich um von ihr vermarktete Werke – beispielsweise bestimmte Hörbücher – handelt.
…
Bereits die Zuverlässigkeit der Ermittlung der dynamischen IP-Adressen, unter denen die Urheberrechtsverletzungen begangen worden sein sollen, stellt sich der Kammer als überdenkenswert dar. Ausgangspunkt der Probleme ist die eine Zuordnung extrem erschwerende Internetpraxis, dass die IP-Adresse einem bestimmten Provider zugeordnet ist und dieser sie „dynamisch“ – also bei jeder Internetanwahl eines seiner Klienten aufs neue – vergibt. Dadurch ist die IP-Adresse nicht einem bestimmten Nutzer zugeordnet, sondern wird nacheinander einer unüberschaubaren Vielzahl von Nutzern – jeweils vorübergehend – zugeordnet. Die Zuordnung zu einem konkreten Festnetzanschluss hängt demzufolge davon ab, den genauen Zeitpunkt der Einwahl ins System (login) und die Dauer der Sitzung zuverlässig zu ermitteln.
Auf welche Weise die Antragstellerin vorliegend die Verbindung zwischen einer konkreten IP-Adresse, einen genauen Zeitpunkt und dem „Hashwert“ eines ihrer Werke hergestellt hat, lässt sich ihrer Anzeige und auch allen weiteren Schriftsätzen nicht entnehmen. In der Anzeige heißt es lediglich, die Antragstellerin habe es „in Erfahrung“ gebracht. Diese Angabe ist dünn und wird durch das rund 380 Seiten lange Konvolut von „Tatnachweisen“ auch nicht wesentlich aufgewertet. Der einzelne Tatnachweis – in einer PDF-Datei übermittelt – enthält bei nüchterner Betrachtung nicht viel mehr als die Behauptung, zu einer bestimmten sekundengenau definierten Zeit habe jemand unter einer konkreten IP-Adresse eine Datei mit einem bestimmten Hashwert angefordert beziehungsweise downgeloadet. Wie lange der Vorgang lief und ob und in welchem Umfang tatsächlich Daten geflossen sind, kann der „Tatnachweis“ nicht vermitteln. Das technische Verfahren zur Gewinnung der übermittelten Informationen und die konkreten natürlichen Personen, die für diese Angaben ggfls. als Belastungszeugen gerade stehen könnten, sind nicht nachvollziehbar dargelegt. Die Kammer zweifelt nicht daran, dass die Antragstellerin nach bestem Wissen und Gewissen ihre Erkenntnisse vortragen möchte. Deren Verlässlichkeit kann das Gericht aber nicht abschätzen. Dass die Zuverlässigkeit der ausgespähten IP-Adressen nicht ohne weiteres unterstellt werden kann, ergibt sich aus den Angaben der Staatsanwaltschaft, die schon öfter offensichtliche Mängel bei der IP-Adressen-Auflösung beobachtet hat. So hat sie beispielsweise zunehmend beobachtet, dass bei der Abfrage von IP-Adressen Provider rückgemeldet haben, zu dem betreffenden Zeitpunkt habe zu der konkreten IP-Adresse keine Session gefunden werden können; dies könne – so folgert die Staatsanwaltschaft zu Recht – nur bedeuten, dass unter den zur Anzeige gebrachten angeblichen Taten auch solche waren, die es nicht gegeben habe. Dies habe man nur zufällig aufdecken können, weil die angeblich benutzte IP-Adresse zum betreffenden Zeitpunkt überhaupt nicht in Benutzung gewesen sei. Ob und wie oft eine mitgeteilte IP-Adresse zur Tatzeit von einem Unbeteiligten anderweitig genutzt worden sei, lasse sich nicht mit Sicherheit sagen; man könne insoweit nur Vermutungen anstellen. Derartige Fehlverknüpfungen sind nach der Erfahrung der Staatsanwaltschaft auch kein seltenes oder vereinzeltes Phänomen. Bei einigen Verfahren habe – so die Staatsanwaltschaft – die Quote der definitiv nicht zuzuordnenden IP-Adressen deutlich über 50% aller angezeigten Fälle gelegen, bei einem besonders eklatanten Anzeigenbeispiel habe die Fehlerquote sogar über 90% betragen. Ergänzend wird auf die Stellungnahme der Staatsanwaltschaft Köln zum Gutachten Prof. T2 vom 3.7.2008 (Blatt 158 ff.) Bezug genommen. Erklärlich erscheinen solche Zuordnungsprobleme der Kammer etwa durch Schwierigkeiten bei der Zeitnahme – sowohl beim ermittelnden Unternehmen als auch beim Provider.
Auch die Verlässlichkeit der Hashwerte, die nach den Beobachtungen der Staatsanwaltschaft Köln manipuliert werden können und gelegentlich – von Hackern – manipuliert werden, um den Betrieb der Tauschbörse zu stören, ist nicht hundertprozentig gewährleistet. Daraus ergibt sich eine weitere, quantitativ schwer einzuordnende Unsicherheit in der Zuordnung eines bestimmten Festnetzanschluss ist zu einem bestimmten Werk-Download.
Hinzu kommt, dass der Anschlussinhaber auch bei fehlerfreier Ausspähung der IP-Adresse grundsätzlich nur als möglicher Täter in Betracht kommt, keinesfalls aber allein durch den Zugriff „seiner“ IP-Adresse auf ein digitales Werk bereits überführt werden könnte. Neben der Existenz von „Mitnutzern“ innerhalb der Familie oder Wohngemeinschaft ist stets auch eine missbräuchliche Benutzung des Anschlusses/Rechners durch externe Dritte – etwa durch die anonyme Einschleusung von versteckt arbeitenden Programmen auf den Computer des Anschlussinhabers oder durch unbefugte Einwahl externer Personen in Funknetze – als eine realistische Möglichkeit in Betracht zu ziehen. Es muss generell bezweifelt werden, dass die Mehrheit der privaten Internetnutzer auf ihren Rechnern die erforderlichen technischen Abwehrsysteme installiert hat beziehungsweise die technischen Kenntnisse und Fertigkeiten besitzt, den eigenen Rechner in angemessener Weise zu schützen. Die Kammer hält daher auch die Folgerung der Antragstellerin, der illegale Tauschvorgang müsse zwangsläufig von jemandem aus dem Haushalt des Anschlussinhabers an dessen Rechner vorsätzlich ausgelöst worden sein – wofür der Anschlussinhaber verantwortlich gemacht werden könne – , für nicht zwingend.
Dies alles macht es rechtlich zweifelhaft, aus einer vereinzelten Verknüpfung zwischen einer bestimmten IP-Adresse und dem Hashwert eines einzelnen geschützten Werks eine (zivilrechtliche) Störerhaftung eines konkreten Anschlussinhabers herleiten zu wollen, solange nicht weitere Faktoren hinzutreten – wie etwa der Umstand, dass erkennbar erhebliche Datenmengen zum Upload angeboten wurden – oder zusätzliche Ermittlungsergebnisse (beispielsweise über Vortaten) vorliegen, die ein zufälliges, singuläres „Hineingeraten“ eines technisch nicht versierten Internetnutzers in eine Tauschbörse, bei der der Vorsatz für die Begehung eines urheberrechtlichen Verstoßes nicht angenommen werden könnte, unwahrscheinlich erscheinen lassen. Dies dürfte aus Sicht der Kammer auch einer der Gründe für die Entscheidung der Generalstaatsanwälte von Düsseldorf, Hamm und Köln sein, die Ermittlung von Verstößen nach §§ 106, 108 UrhG davon abhängig zu machen, dass Anzeichen für Urheberrechtsverletzungen im „gewerblichen Ausmaß“ vorliegen mit Werten der angebotenen Werke ab 3.000 € aufwärts. Tauschaktionen in geringerem Umfang, die vielleicht auch noch abgebrochen wurden – was die von der Antragstellerin ermittelten Daten nicht erkennbar machen -, würden den Nachweis ungewiss machen, dass der Täter das erforderliche technische Wissen und Bewusstsein hatte, bereits beim Download-Vorgang selbst die Daten (partiell) weiter „anzubieten“ – was für die Annahme einer vorsätzlichen Urheberrechtsverletzung wesentlich wäre.“
AG München, Az.: 111 C 13236/12, Urteil vom 15.03.2013:
Der Nachweis, dass sich zu einem bestimmten Zeitpunkt eine Torrent-Datei auf dem Rechner eines mutmaßlichen Tauschbörsennutzers befunden hat, beweist nicht, dass der Nutzer auch das in der Datei verlinkte urheberrechtliche geschützte Werk angeboten hat.
Auch hierin ist die geforderte Voraussetzung klar zu erkennen, dass die allgemeine Ermittlerrdarstellung, wie man sich die Arbeit der Ermittlungssoftware und der Ermittler grundsätzlich (und zu irgendeinem Zeitpunkt als ein allgemeines Gutachten wozu auch immer eingeholt wurde) einmal vorgestellt hat, mit einem schnellem Rückschluss in einem Nebensatz auf die Funktion im vorliegenden Einzelfall, nicht ausreichend berücksichtigt, dass laufend und bezogen auf den konkreten Vorwurf sichergestellt werden muss, dass die Software und deren Anwendung den Anforderungen eines „Anfangsgutachtens zur Funktionsweise der Software an sich“, genügt haben muss.
Dazu auch bereits die folgende Rechtsprechung:
OLG Köln, Az. 6 W 242 /11 :
„Der Rechteinhaber muss daher, bevor er mit der Ermittlung von Rechtsverletzungen beginnt, sicherstellen, dass diese Ermittlungen ordnungsgemäß durchgeführt werden und dass er dies dokumentieren kann. Setzt er hierfür eine Software ein, muss diese durch einen unabhängigen Sachverständigen überprüft und regelmäßig kontrolliert werden. Eine nachträgliche Untersuchung der eingesetzten Software durch das Gericht mit ungewissem Ausgang (vgl. Beschluss des Senats vom 7.9.2011 – 6 W 82/11) genügt dagegen nicht, um eine Offensichtlichkeit der Rechtsverletzung begründen zu können.“
OLG Köln 6 W 42/ 11 :
Die ordnungsgemäße Ermittlung der IP-Adresse über eine entsprechende Software kann grundsätzlich zulässig mit Nichtwissen gemäß § 138 Abs. 4 ZPO bestritten werden. Eines Vortrags bezüglich konkreter Anhaltspunkte für die Unrichtigkeit der Ermittlungen der IP-Adresse bedarf es dann nicht (mehr).
Im Fazit muss also damals wie heute von Anspruchstellern, die sich auf von ihnen in Auftrag gegebene private IP-Adressermittlungen berufen, gefordert werden:
- Der Nachweis der Einhaltung der Vorgaben der Telekommunikationsüberwachungsvorschriften durch die Software, im konkreten Einzelfall.
- Der Nachweis der Überwachungs- und Aufzeichnungspflichten des dafür ausgebildeten Bedienpersonals.
- Der Nachweis des konkreten Datenverkehrs JEDES EINZELNEN behaupteten „Up- UND Downloads“ und deren konkrete, den Taterfolg und die behaupteten Schäden erst bewirkende Ergebnisse im konkreten Einzelfall.