Oberlandesgericht Frankfurt am Main:
Urteil vom 28. August 2013
Aktenzeichen: 13 U 105/07
(OLG Frankfurt am Main: Urteil v. 28.08.2013, Az.: 13 U 105/07)
Tenor
Die Berufung des Klägers gegen das Urteil der 10. Zivilkammer € Einzelrichterin € des Landgerichts Darmstadt vom 6.06.2007 wird zurückgewiesen.
Der Kläger hat die Kosten des Berufungsverfahrens und des Revisionsrechtszuges zu tragen.
Das Urteil ist vorläufig vollstreckbar.
Der Kläger darf die Vollstreckung durch Sicherheitsleistung oder Hinterlegung von 115 % des auf Grund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 115 % des jeweils zu vollstreckenden Betrages leistet.
Die Revision wird zugelassen.
Gründe
I.
Die Beklagte bietet Telekommunikationsleistungen an. Der Kläger, ein €kaufmann,der freiberuflich auch als A tätig ist, ist Inhaber eines von der Beklagten bereitgestellten DSL-Anschlusses.
Hierfür haben er und die Rechtsvorgängerin der Beklagten €der Geschäftsbereich der Deutschen Telekom AG, der vormaligen Beklagten, wurde im Laufe des Rechtsstreits nach dem Umwandlungsgesetz im Wege der Ausgliederung zur Aufnahme auf die jetzige Beklagte übertragen, die zunächst noch als T-Mobile Deutschland GmbH firmierte € den "T-online dsl flat"-Tarif vereinbart.
Dieser Tarif beinhaltet ein zeit- und volumenunabhängiges Pauschalentgelt, soweit der Kunde für die Einwahl in das Internet den von der Beklagten zur Verfügung gestellten DSL-Anschluss nutzt.Der Kunde kann sich mit seinen Zugangsdaten (der Kennung und dem Passwort) jedoch auch über andere Telekommunikationsanschlüsse (zum Beispiel über Mobiltelefone, Anschlüsse von Wettbewerbern der Beklagten im Inland oder aus dem Ausland) oder mittels anderer Zugangstechniken (z.B. Analog-, ISDN- oder GSM-Verbindungen) in die Dienste der Beklagten einwählen. In diesem Fall werden zeitabhängige Nutzungsentgelte berechnet. Ferner kann der Kunde Zugriff auf kostenpflichtige Dienste nehmen, die entsprechend der individuellen Nutzung gesondert und unabhängig von den angebotenen Zugangstarifen von der Beklagten in Rechnung gestellt werden.
Die Beklagte weist dem Rechner, den der Kunde zur Einwahl in das Internet nutzt, für die Dauer der einzelnen Verbindung eine IP-Adresse zu, die sie einem ihr zugeteilten Großkontingent entnimmt. Diese Adresse besteht aus einer mit einer Telefonnummer vergleichbaren, aus vier Blöcken gebildeten Ziffernfolge, die die Kommunikation vernetzter Geräte (z.B. Web-Server, E-Mail- Server oder Privatrechner) ermöglicht. Nach Beendigung der Verbindung wird die jeweilige IP-Adresse wieder freigegeben und steht den Kunden der Beklagten zur Einwahl in das Internet erneut zur Verfügung.Aufgrund dieses Verfahrens erhält der einzelne Nutzer für jede Einwahl in das Internet in aller Regel eine unterschiedliche IP-Nummer (die dynamische IP-Adresse).
Die Beklagte speichert nach Beendigung der jeweiligen Verbindung unter anderem die hierfür verwendete IP-Adresse für einen gewissen Zeitraum. Diesen hat sie im Lauf des vorliegenden Rechtsstreits auf sieben Tage begrenzt. Zuvor hatte sie für die Speicherung eine längere Zeitspanne in Anspruch genommen. Die Beklagte hat insoweit zunächst die Auffassung vertreten, sie sei gemäß § 96 Abs. 1 Satz 2i. V. m. § 97 Abs. 1 Satz 1, Abs. 2 Nr. 1 und § 100 Abs. 1 TKG zu einer vorübergehenden Speicherung der IP-Adressen berechtigt.
Der Kläger meint, die Beklagte sei verpflichtet, die IP-Adressen sofort nach dem Ende der einzelnen Internetsitzungen zu löschen.
Neben Löschungs- und Unterlassungsansprüchen hinsichtlich weiterer Daten hat der Kläger die Verurteilung der Beklagten zur sofortigen Löschung der seinem Rechner zugeteilten IP-Adressen nach dem jeweiligen Ende der Internetverbindungen verfolgt.
Das Landgericht hat den Anträgen mit Urteil vom 6.06.2007teilweise stattgegeben, die Beklagte hinsichtlich der IP-Adressen jedoch nur verurteilt, diese sieben Tage nach dem jeweiligen Ende der Internetverbindungen zu löschen.
Die hiergegen gerichtete Berufung des Klägers hat das Oberlandesgericht mit Urteil vom 16.06.2010 zurückgewiesen.
Zur Begründung hat das Berufungsgericht im Kern ausgeführt, die Beklagte sei zur Speicherung der IP-Adressen während des vom Landgericht ausgeurteilten Zeitraums berechtigt, da diese Daten zur Ermittlung des Entgelts und zur Abrechnung sowie zum Erkennen,Eingrenzen und Beseitigen von Störungen oder Fehlern an ihren Telekommunikationsanlagen erforderlich seien. Der mit der Beklagten vereinbarte Tarif sehe nicht eine reine zeit- und volumenunabhängige Pauschale vor. Vielmehr seien für einzelne Nutzungen gesondert abzurechnende Entgelte zu zahlen. Die IP-Adressen seien zu deren Abrechnung erforderlich. Bei der Einwahl in das Internet würden auf dem dafür benötigten Radiusserver der Beklagten lediglich die jeweilige Kennung, das hinterlegte Passwort des Teilnehmers sowie die der einzelnen Internetverbindung zugeordnete IP-Adresse gespeichert, nicht aber das von dem jeweiligen Teilnehmer gewählte Tarifmodell. Der Radiusserver übertrage deshalb die IP-Adressen und die diesen jeweils zugeordneten Session-Daten an einen Computer des Abrechnungssystems der Beklagten. Ohne die IP-Nummern sei eine Entgeltberechnung nicht möglich. Dass die Beklagte gleichwohl über technische Mittel verfüge, die es ihr ermöglichten, auch ohne die zeitweise Speicherung von IP-Adressen die Abrechnungen zu erstellen, sei nicht zu erkennen und sei vom Kläger auch nicht schlüssig dargetan worden. Er habe gegenüber den detaillierten Darlegungen der Beklagten lediglich eingewandt, es gebe "Log-Dateien". Es sei jedoch nicht ersichtlich, dass diese Dateien es ohne die IP-Adressen ermöglichten, die Abrechnung vorzunehmen. Dies ergebe sich auch nicht aus dem vom Landgericht eingeholten Sachverständigengutachten. Überdies könne dem Kläger nach § 44 Abs.1, § 96 Abs. 1 Satz 3, § 97 Abs. 3 TKG allenfalls ein Anspruch auf "unverzügliche" und nicht etwa auf "sofortige"Löschung zustehen.
Darüber hinaus seien auch die Voraussetzungen des in § 96 Abs. 1Satz 2, § 100 Abs. 1 TKG geregelten Erlaubnistatbestands für die Speicherung der IP-Adressen für einen Zeitraum von sieben Tagen erfüllt. Aufgrund der plausiblen und im wesentlichen unstreitig gebliebenen Darlegungen der Beklagten könne davon ausgegangen werden, dass es dieser bei einer "sofortigen" Löschung der IP- Adressen derzeit praktisch unmöglich wäre, einen relevanten Teil von Störungen und Fehlern an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen. § 100 Abs. 1 TKG setze für die Speicherung von Verkehrsdaten im Gegensatz zu § 100 Abs. 3TKG keine im "Einzelfall" bereits feststehende Störung voraus. Vielmehr müsse die Beklagte in die Lage versetzt werden,regelmäßig erst nach einigen Tagen eingehenden Störungsmitteilungen auf den Grund zu gehen. Hierfür seien in der Regel die IP-Adressen notwendig. Bei der Versendung von "Schrottmails" (Spam),Hackerangriffen, der Verbreitung von Viren und Trojanern und bei massenweisen Zugriffen auf bestimmte Webseiten (Denial-of-Service-Attacken) seien die Störungen nur zu beseitigen,wenn die IP-Adressen der (gegebenenfalls zuvor infizierten) Rechner bekannt seien, von denen die Attacken ausgingen. Anderenfalls seien die betroffenen Computer nicht identifizierbar. Wenn eine an einem Angriff beteiligte IP- Adresse aus dem Kontingent eines bestimmten Internetproviders, etwa der Beklagten, stamme, wendeten sich die Betroffenen oder deren Internetprovider an denjenigen, dessen Bereich die betreffende Adresse zuzuordnen sei, um Angriffe stoppen zu lassen bzw. zumindest hierauf hinzuweisen. Die Beklagte müsse durch die Speicherung der IP-Adressen in die Lage versetzt sein,derartige Störungen abzustellen. Anderenfalls sei auch ihre eigene Infrastruktur gefährdet. Es sei nachvollziehbar und allgemein bekannt, dass, wenn ein Internetprovider nicht gegen Versender von Spams, Schadsoftware und dergleichen vorgehe, dies zur Sperrung bestimmter IP-Adressenkontingente, von denen die Störungen ausgegangen seien, durch andere Internetdienstleister und -provider führe. Diese Adressenbereiche seien dann nicht mehr erreichbar und könnten von der Beklagten und deren Kunden nicht mehr genutzt werden. Der Kläger habe sich demgegenüber bis zuletzt lediglich pauschal und ohne nähere Details darauf berufen, dass es "zumutbare technische Mittel zur unwiederbringlichen Anonymisierung von Datenbeständen (gebe), deren Einsatz gleichwohl die Nutzbarkeit der Daten" im Sinne einer Netzsicherheit gewährleisten könnte. Dem entsprechenden Beweisangebot, ein Sachverständigengutachten einzuholen, sei nicht nachzugehen gewesen, weil es einer im Zivilprozess unstatthaften Erhebung eines Ausforschungsbeweises gleichgekommen wäre.
Wegen weiterer Einzelheiten der Begründung des Urteils des Oberlandesgerichts vom 16.06.2010, wegen der in erster Instanz gestellten Anträge sowie wegen weiterer Details des wechselseitigen Vorbringens der Parteien bis zum Erlass der genannten berufungsgerichtlichen Entscheidung wird auf Blatt 1001 €1037 der Akten Bezug genommen bzw. auf die Veröffentlichung in MMR2010, 645 und CR 2011, 96-102 verwiesen.
Mit seiner im Urteil des Berufungsgerichts vom 16.06.2010zugelassenen Revision hat der Kläger sein auf die Verpflichtung der Beklagten zur sofortigen Löschung der IP-Adressen gerichtetes Begehren weiterverfolgt.
Mit Urteil vom 13.03.2011 hat der Bundesgerichtshof das Urteil des Oberlandesgerichts vom 10.06.2010 aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.
Zur Begründung dieser Entscheidung hat der Bundesgerichtshof im Wesentlichen ausgeführt, nach dem derzeitigen Sach- und Streitstand sei nicht auszuschließen, dass die Beklagte zu einer vorübergehenden Speicherung der dem Rechner des Klägers jeweils zugeteilten dynamischen IP-Adressen nach Beendigung der Internetverbindungen nicht berechtigt sei, so dass der Kläger nach § 44 Abs. 1 Satz 1 in V. m. § 96 Abs. 1 Satz 3 TKG die unverzügliche Löschung verlangen könne. Sofern für die Speicherung der IP-Adressen keine Rechtsgrundlage besteht, könne dieser Anspruch je nach den technischen Möglichkeiten auch auf eine "sofortige" Löschung hinauslaufen.
Die tatsächlichen Voraussetzungen für die Befugnis der Beklagten zur Erhebung und Verwendung dieser Daten gemäß § 96 Abs. 1 Satz 2i. V. m. § 97 Abs. 1 Satz 1, Abs. 2 Nr. 1, § 100 Abs. 1 TKG habe das Berufungsgericht, wie die Revision zutreffend gerügt habe,nicht frei von Rechtsfehlern festgestellt.
Das Oberlandesgericht habe nicht ohne Beweisaufnahme davon ausgehen dürfen, die Beklagte sei berechtigt, die IP-Adressen zum Zweck der Entgeltermittlung und Abrechnung zu erheben und zu verwenden (§97 Abs. 1 Satz 1, Abs. 2 Nr. 1 TKG), weil diese Daten hierfür erforderlich seien.
Die Beklagte sei für die tatsächlichen Voraussetzungen ihrer Berechtigung, die streitgegenständlichen Daten zu speichern,darlegungs- und beweisbelastet. Aus §§ 95 bis 98 TKG ergebe sich,dass der Diensteanbieter keine Daten seiner Kunden erheben und verwenden dürfe, es sei denn, das Gesetz räume ihm eine Befugnis hierzu ein. Da sich die Beklagte damit auf einen Erlaubnistatbestand berufe (vgl. Begründung der Bundesregierung zum Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes, BT-Drs. 16/11967 S. 17), der eine Ausnahme von ihrer grundsätzlichen Löschungspflicht (Büttgen in Scheurle/Mayen, TKG, 2. Auflage, § 96 Rd. 10; Klesczewski in Berliner Kommentar zum TKG, 2. Auflage, § 96 Rd. 13) darstelle,treffe sie für die ihm zugrunde liegenden Tatsachen die Darlegungs-und Beweislast.
Entgegen der Ansicht der Vorinstanz folge aus dem unstreitig gebliebenen Parteivorbringen nicht, dass die Voraussetzungen des Erlaubnistatbestands des § 97 Abs. 1 Satz 1, Abs. 2 Nr. 1 TKGerfüllt seien. Als unstreitig habe das Oberlandesgericht lediglich die bei der Beklagten praktizierten Abläufe der Entgeltermittlung und Abrechnung und insbesondere die Verwendung der IP- Adressen,und nicht der Kundenkennung, für diese Zwecke festgestellt. Hieraus folge indessen nicht, dass die Speicherung der IP-Adressen im Sinne des § 97 Abs. 1 Satz 1 TKG für diese Zwecke "benötigt"werde. Dies richte sich nicht allein nach der vom Diensteanbieter angewandten Abrechnungstechnik. In dem Erfordernis, dass die jeweiligen Verkehrsdaten für diese Zwecke "benötigt"werden, komme vielmehr der bei der gebotenen Abwägung der Datenschutzbelange des Kunden mit den berechtigten Interessen des Diensteanbieters zu beachtende Verhältnismäßigkeitsgrundsatz zum Ausdruck. Bei dem in § 97 Abs. 1 Satz 1 TKG verwendeten Wort "benötigt" handele es sich demnach um einen unbestimmten Rechtsbegriff des Inhalts, dass für die in dieser Vorschrift geregelten Zwecke kein weniger eingriffsintensives Mittel zur Verfügung stehe als die Erhebung und Verwendung der jeweils in Rede stehenden Verkehrsdaten.
Der Sachverständige E habe in diesem Zusammenhang in seinem Gutachten die Behauptung der Beklagten, die IP-Adressen seien zur Entgeltermittlung und Abrechnung erforderlich, nicht bestätigt und ausgeführt, bereits die so genannten Log-Dateien, die auf dem Radiusserver gespeichert würden, ermöglichten ohne Rückgriff auf die IP-Adressen die Zuordnung der jeweiligen Internetsitzung zu den einzelnen Kunden und damit auch die Abrechnung. Dem sei die Beklagte zwar ausführlich entgegengetreten und habe insbesondere geltend gemacht, in den vom Gutachter möglicherweise mit dem Begriff "Log-Dateien" gemeinten Sessiondaten seien die IP-Adressen enthalten. Der Kläger habe diesen Vortrag jedoch weiterhin in dem entscheidenden Punkt bestritten, dass die Abrechnung ohne die gespeicherten IP-Adressen nicht möglich sei. Ob dies der Fall ist und ob die anderen, ohnehin gespeicherten Daten zur Entgeltermittlung und Abrechnung genügten und mit deren Verwendung ein weniger intensiver Eingriff in die Rechte der Kunden der Beklagten verbunden ist, sei zu klären.
Die Revision beanstande zu Recht, das das Berufungsgericht den erstinstanzlich herangezogenen Gutachter nicht angehört, ihm keine neue Begutachtung aufgegeben und sich auch nicht anderweitig sachverständig habe beraten lassen. Es sei zwar grundsätzlich dem pflichtgemäßen Ermessen des Tatrichters überlassen, ob er seine eigene Sachkunde für ausreichend erachtet und deshalb von der Einholung eines Sachverständigengutachtens absieht. Die Grenze seines Ermessens habe das Berufungsgericht jedoch nicht eingehalten. Die Würdigung eines schwierigen technischen Sachverhalts, wie hier die Beurteilung, ob für die Zuordnung abrechnungsrelevanter Internet-Sessiondaten zu den einzelnen Kunden der Beklagten die Speicherung der IP-Adressen erforderlich sei,setze besondere technische Kenntnisse voraus und werde nicht schon durch die Beherrschung allgemeiner Erfahrungssätze ermöglicht. Der Tatrichter könne, wenn es um die Beurteilung einer Fachwissen voraussetzenden Frage gehe, auf die Einholung eines Sachverständigengutachtens nur verzichten, wenn er entsprechende eigene besondere Sachkunde besitze und dies in einem vorherigen Hinweis an die Parteien darlege. Dieser Verfahrensmangel sei entscheidungserheblich.
Dem Berufungsgericht sei nämlich im Ausgangspunkt darin beizupflichten, dass die zwischen den Parteien bestehenden Tarifvereinbarungen eine Zuordnung der jeweiligen Sessiondaten zu dem Kundenkonto des Klägers erforderten. Deshalb scheide entgegen der Ansicht der Revision die Berechtigung der Beklagten zur Speicherung der zugeteilten dynamischen IP-Adressen gemäß § 97 Abs.1 Satz 1, Abs. 2 Nr. 1 TKG nicht von vornherein aus. Zwar beinhalte der Tarif ein zeit- und volumenunabhängiges Pauschalentgelt (Flatrate), soweit sich der Kläger zur Herstellung einer Internetverbindung des von der Beklagten zur Verfügung gestellten DSL-Anschlusses bediene. Allerdings habe er auch die Möglichkeit,seine Zugangsdaten für andere Arten der Einwahl in das Internet und zur Inanspruchnahme von kostenpflichtigen Angeboten der Beklagten zu nutzen. In diesen Fällen fielen zusätzliche Kosten an. Dass der Kläger diese Möglichkeiten bislang nicht genutzt habe, schließe,wie das Berufungsgericht zutreffend ausgeführt habe, nicht aus,dass er künftig hiervon Gebrauch machen werde. Für diesen Fall müsse die Beklagte in der Lage sein, anhand der Sessiondaten und ihrer Zuordnung zum Kläger, diese Leistungen abzurechnen.
Ebenfalls nicht frei von Rechtsfehlern habe das Berufungsgericht die Feststellungen zu den Voraussetzungen des § 100 Abs. 1 TKGgetroffen. Nach dieser Bestimmung dürfe der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen unter anderem die Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden, soweit dies für diese Zwecke erforderlich sei. Die Revision rüge insoweit zutreffend, das Berufungsgericht habe dem Kläger nicht entgegenhalten dürfen, er habe sich ohne Angabe näherer Details darauf berufen, es gebe entgegen den Behauptungen der Beklagten zumutbare technische Mittel, die Netzsicherheit zu gewährleisten, ohne auf die jeweils zugeteilten IP-Adressen zurückgreifen zu müssen. Der Kläger habe sich auf ein einfaches Bestreiten der gegenteiligen Behauptungen der Beklagten beschränken dürfen. Die Voraussetzungen für die Notwendigkeit eines qualifizierten Bestreitens seien im Streitfall nicht gegeben. Der Kläger habe keine der Beklagten überlegenen technischen Erkenntnismöglichkeiten und stehe den maßgeblichen Geschehensabläufen nicht näher als diese. Vielmehr sei das Gegenteil der Fall. Angesichts der Komplexität der maßgeblichen technischen Zusammenhänge könne ungeachtet der ausführlichen Darlegungen der Beklagten auch nicht davon ausgegangen werden, dass jeglicher Anhaltspunkt für die Möglichkeit der objektiven Unrichtigkeit ihrer Behauptungen zur Notwendigkeit fehle, die IP-Adressen zu den in § 100 Abs. 1 TKG aufgeführten Zwecken kurzzeitig zu speichern. Dies gelte umso mehr deshalb, weil auch das erstinstanzlich eingeholte Sachverständigengutachten nur die Geeignetheit der Speicherung der IP-Adressen für diese Zwecke,nicht aber die Erforderlichkeit bestätigt habe. Die Beklagte sei,wie sich aus den vorstehenden Ausführungen ergebe, für die tatsächlichen Voraussetzungen ihrer Berechtigung, die streitgegenständlichen Daten in Ausnahme von § 96 Abs. 1 Satz 3 TKGzu speichern, darlegungs- und beweisbelastet. Das Berufungsgericht habe den diesbezüglichen Sachvortrag der Beklagten deshalb nicht als unstreitig behandeln dürfen. Eine etwaige Beweisaufnahme sei auch nicht auf eine Ausforschung hinausgelaufen. Vielmehr wäre Beweis über die Richtigkeit der detaillierten Angaben der Beklagten zu erheben gewesen. Auch dieser Verfahrensfehler sei entscheidungserheblich.
Dem Berufungsgericht sei im Ergebnis darin zuzustimmen, dass,sofern die Speicherung der dynamischen IP-Adressen notwendig sei,um unter anderem der Versendung von Spam-Mails und Denial-of-Service-Attacken entgegen zu wirken, die Beklagte nicht vor Ablauf von sieben Tagen zur sofortigen Löschung verpflichtet sei. Der Senat schließe sich insoweit der von dem Bundesbeauftragten für den Datenschutz und Informationsfreiheit (vgl. den im Internet abrufbaren offenen Brief des Bundesbeauftragten vom 16. März 2007; so auch AG Bonn MMR 2008,203, 204) vertretenen Auffassung an.
Zu den Verkehrsdaten, die nach § 100 Abs. 1 TKG erhoben und verwendet werden dürften, gehörten grundsätzlich auch die jeweils genutzten IP- Adressen (Begründung der Bundesregierung des Entwurfs eines Telekommunikationsgesetzes, BT-Drucks. 15/2316 S. 90; Wittern in Beck€scher TKG- Kommentar, 2006, § 100 Rd. 3; vgl. auch BVerfG NJW 2010, 833 Rd. 254).
Keinen rechtlichen Bedenken unterliege weiter die Auffassung des Berufungsgerichts, dass eine abzuwehrende Störung im Sinne des §100 Abs. 1 TKG unter anderem dann vorliege, wenn Internetdienstleister bestimmte IP-Adressbereiche eines anderen Internetanbieters € hier der Beklagten € sperren, weil von ihnen Schadprogramme oder massenweise sogenannte Spam-Mails versandt werden oder "Denial-of-Service- Attacken"ausgehen.
Der Begriff der Störung sei umfassend und erfasse jede vom Diensteanbieter nicht gewollte Veränderung der von ihm für sein Telekommunikationsangebot genutzten technischen Einrichtungen (vgl.Begründung der Bundesregierung zum Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes,durch den eine mit § 100 Abs. 1 TKG fast wortgleiche Bestimmung an § 15 des Telemediengesetzes angefügt werden sollte, BT-Drs.16/11967 S. 17).
Der Begriff der Telekommunikationsanlagen in § 100 Abs. 1 TKGschließe überdies nach der Legaldefinition des § 3 Nr. 23 TKG neben den technischen Einrichtungen auch das gesamte System ein. Die Sperrung der von dem Diensteanbieter vorgehaltenen IP-Adressenkontingente stelle damit auch eine Veränderung der Telekommunikationsanlagen dar, die sodann nicht mehr nutzbar seien.
Entgegen der Auffassung der Revision setze die in § 100 Abs. 1TKG geregelte Befugnis zur Erhebung und Verwendung von Daten auch unter Berücksichtigung des Fernmeldegeheimnisses (Art. 10 Abs. 1GG, § 88 TKG) und des Grundrechts auf informationelle Selbstbestimmung (Art. 1 Abs. 1, Art. 2 Abs. 1 GG) nicht voraus,dass im Einzelfall bereits Anhaltspunkte für eine Störung oder einen Fehler an den Telekommunikationsanlagen vorliege. Es genüge vielmehr, dass die in Rede stehende Datenerhebung und -Verwendung geeignet, erforderlich und im engeren Sinn verhältnismäßig sei, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebs entgegenzuwirken.
Dies ergebe sich aus dem Vergleich von § 100 Abs. 1 TKG mit seiner Vorgängerregelung, dem § 9 Abs. 1 Nr. 1 der Telekommunikations-Datenschutzverordnung (TDSV) vom 18. Dezember 2000 (BGBl. I S. 1740), und mit § 100 Abs. 3 TKG.
§ 9 Abs. 1 TDSV setzte sowohl für die nunmehr in § 100 Abs. 1TKG als auch für die in Absatz 3 dieser Bestimmung geregelten Fallgestaltungen voraus, dass die Datenerhebung und -Verwendung im jeweiligen Einzelfall erforderlich war. Diese Bedingung sei im Gesetzestext nunmehr für die vormals in § 9 Abs. 1 Nr. 1 TDSVgeregelten Fälle des § 100 Abs. 1 TKG (Störungen und Fehler an Telekommunikationsanlagen) entfallen. Demgegenüber sei sie in Absatz 3 für die früher § 9 Abs. 1 Nr. 2 TDSV zugrunde liegenden Sachverhalte der Leistungserschleichung und sonstigen missbräuchlichen Inanspruchnahme der Telekommunikationsnetze beibehalten worden. Dem sei zu entnehmen, dass für § 100 Abs. 1 TKGnicht mehr erforderlich sei, dass im Einzelfall Anhaltspunkte für eine Störung oder einen Fehler bestehen. Für den Verzicht auf dieses Erfordernis spreche im Übrigen, dass hierfür ein gesetzgeberisches Bedürfnis bestanden habe, da insbesondere zur Abwehr erheblichen Spam-Aufkommens und von so genannten Denial-of-service-Attacken generelle Abwehrmaßnahmen erforderlich seien, um die Funktionsfähigkeit des Telekommunikationsbetriebs zu gewährleisten. Die Beklagte sei nach § 109 Abs. 1 Nr. 2, Abs. 2 TKGverpflichtet, derartige präventive Schutzmaßnahmen gegen Störungen zu treffen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen führen können. Schließlich streite dafür,dass eine abstrakte Gefahr für die Ermächtigung des § 100 Abs. 1TKG genüge, dass der Diensteanbieter die Daten auch zum "Erkennen" von Störungen und Fehlern sammeln und verwerten dürfe. Das "Erkennen" von Störungen und Fehlern finde in der Regel in einem Stadium statt, in dem Anhaltspunkte hierfür erst gewonnen würden, also ein konkreter Verdacht noch nicht bestehen müsse.
Diese Auslegung begegne auch keinen verfassungsrechtlichen Bedenken.
§ 100 TKG greife zwar, soweit er die Erhebung und Verwendung von Telekommunikationsdaten erlaube, in den Anspruch des einzelnen Nutzers auf Wahrung des Fernmeldegeheimnisses (Art. 10 Abs. 1 GG, §88 TKG) und seines Grundrechts auf informationelle Selbstbestimmung (Art. 1 Abs. 1, Art. 2 Abs. 1 GG) ein. Insbesondere Art. 10 Abs. 1GG begründe nicht nur ein Abwehrrecht gegen den Staat, sondern auch einen Auftrag an diesen, Schutz insoweit vorzusehen, als Private sich Zugriff auf Kommunikationsdaten verschafften. Diese Rechte könnten und müssten aber mit den berechtigten Belangen der Telekommunikationsunternehmen, öffentlichen Interessen und den übrigen Interessen der Kunden abgewogen werden. § 100 TKG bringe die Rechte der Nutzer aus Art. 1 Abs. 1, Art. 2 Abs. 1 und Art. 10Abs. 1 GG mit den gleichfalls grundrechtlich geschützten Rechten des Diensteanbieters aus Art. 12 Abs. 1 und Art. 14 Abs. 1 GG sowie mit dem legitimen Interesse der Nutzer und dem öffentlichen Interesse (§ 109 Abs. 1 Nr. 2, Abs. 2 TKG) an der Funktions- und Leistungsfähigkeit des Telekommunikationssystems zum Ausgleich. Die präventive Erhebung und Verwertung von Daten werde hierbei nicht unbegrenzt erlaubt, auch wenn eine abstrakte Gefahr von Störungen und Fehlern an Telekommunikationsanlagen genüge. Vielmehr würden die Befugnisse des Diensteanbieters durch den Verhältnismäßigkeitsgrundsatz strikt begrenzt.
Die anlasslose, jedoch auf sieben Tage begrenzte Speicherung der jeweils genutzten IP-Adressen wahre € ihre technische Erforderlichkeit für die Zwecke des § 100 Abs. 1 TKG vorausgesetzt € die Verhältnismäßigkeit. Die bloße Speicherung der IP-Adressen stelle noch keinen schwerwiegenden Eingriff in die Grundrechte der Nutzer dar. Dies gelte umso mehr, als von maßgebender Bedeutung für das Gewicht des Grundrechtseingriffs sei,welche Persönlichkeitsrelevanz die Informationen aufwiesen, die von der informationsbezogenen Maßnahme erfasst würden. Die Identität des jeweiligen Nutzers sei aus der IP-Nummer selbst nicht erkennbar und werde erst durch die Zusammenführung mit weiteren Angaben ermittelbar. Diese finde jedoch € nach dem bisherigen Sach-und Streitstand € für die Zwecke des § 100 Abs. 1 TKG nur bei dem konkreten Verdacht einer Störung oder eines Fehlers an den Telekommunikationsanlagen statt. Überdies sei die Speicherung auf einen sehr kurzen Zeitraum begrenzt.
Allerdings könnten bei einer, wie im vorliegenden Sachverhalt,anlasslosen Speicherung von Daten erhöhte Anforderungen an die Verhältnismäßigkeit der Maßnahme zu stellen sein.Informationserhebungen gegenüber Personen, die den Eingriff durch ihr Verhalten nicht veranlasst hätten, seien grundsätzlich von höherer Eingriffsintensität als anlassbezogene. Soweit Personen,die keinen Erhebungsanlass gegeben hätten, in großer Zahl in den Wirkungsbereich einer Maßnahme einbezogen würden, könnten von ihr auch allgemeine Einschüchterungseffekte ausgehen, die zu Beeinträchtigungen bei der Ausübung von Grundrechten führen könnten. Die Unbefangenheit des Verhaltens werde insbesondere gefährdet, wenn die Streubreite von Ermittlungsmaßnahmen dazu beitrage, dass Risiken des Missbrauchs und ein Gefühl des Überwachtwerdens entstünden. Diese zu strafprozessualen,präventiv-polizeilichen und geheimdienstlichen Eingriffen entwickelte Rechtsprechung sei aber nicht ohne Abstriche auf die vorliegende Fallgestaltung zu übertragen. Die Intensität des Eingriffs für den Grundrechtsträger werde maßgeblich davon beeinflusst, welche Nachteile ihm über die Informationserhebung hinaus drohten oder von ihm nicht ohne Grund befürchtet werden müssten. Die kurzzeitige Speicherung der dynamischen IP-Adressen durch die Beklagte zum Zweck des Erkennens, des Eingrenzens und der Beseitigung von Störungen und Fehlern und damit des Schutzes ebenfalls teilweise grundrechtlich geschützter Rechte und öffentlicher Interessen ziele nicht auf Maßnahmen hoheitlicher Repression oder Verhaltensüberwachung ab. Eine Identifizierung des Anschlusses, dem die IP-Adresse zugeteilt werde, finde für die Zwecke des § 100 Abs. 1 TKG überdies erst bei einem konkreten Anlass statt. Die IP-Adressenspeicherung sei daher, wenn überhaupt,lediglich in sehr geringem Maß geeignet, einzuschüchtern oder auch nur die Unbefangenheit des Kunden bei der Nutzung des Internets zu beeinträchtigen.
Demgegenüber seien die Interessen, denen die Datenspeicherung diene, von erheblichem Gewicht, selbst wenn, wie der Kläger geltend mache, nur ein sehr geringer Teil der gespeicherten IP-Adressen für die in § 100 Abs. 1 TKG aufgeführten Zwecke verwendet werde. Sofern die IP-Nummern zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern notwendig seien, würde der Verzicht auf die Speicherung angesichts der gerichtsbekannten Häufigkeit der Versendung von Spam-Mails, Schad- und Spionageprogrammen und der "Denial-of-Service-Attacken" auf Dauer € zum Schaden der Beklagten und aller ihrer Nutzer € zu einer schwerwiegenden und nachhaltigen Beeinträchtigung der Kommunikationsinfrastruktur führen.
Insgesamt sei der mit der streitgegenständlichen Speicherung verbundene Eingriff in die Rechte der Nutzer vergleichsweise gering und überwiege die legitimen, teilweise ebenfalls grundrechtlich abgesicherten Interessen der Beklagten und ihrer Kunden sowie die öffentlichen Interessen an der Funktionstüchtigkeit und Leistungsfähigkeit der Telekommunikationsinfrastruktur nicht.
§ 100 Abs. 1 TKG sei in dieser Auslegung auch mit dem europäischen Recht vereinbar.
Gemäß Art. 15 Abs. 1 der maßgeblichen Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ABI. L 201 vom 31. Juli 2002 S. 37 - im Folgenden: RL) könnten die Mitgliedstaaten Rechtsvorschriften erlassen, nach denen Verkehrsdaten im Sinne des Art. 6 Abs. 1 RL, zu denen auch die IP-Adressen gehöre, unter anderem dann gespeichert werden dürften, wenn dies "zur Verhütung, Ermittlung, Feststellung ... des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig€ sei.Zu einem unzulässigen Gebrauch elektronischer Kommunikationssysteme gehöre auch der Missbrauch des Internets durch die Versendung von Spam-Mails, Schad- und Spionageprogrammen sowie durch Denial-of-Service-Attacken. Die Speicherung der IP- Adressen für sieben Tage nach Beendigung der jeweiligen Verbindung sei, ihre technische Notwendigkeit zur Abwehr oder zur Beseitigung derartiger Missbräuche vorausgesetzt, damit vom Wortlaut des Art. 15 Abs. 1 RLgedeckt. Eine solche Speicherung sei aus den vorgenannten Gründen nach den Maßstäben des Grundgesetzes verhältnismäßig. Da nichts dafür ersichtlich sei, dass Art. 15 Abs. 1 RL insoweit weitergehende Anforderungen enthalte, sei sie auch "notwendig,angemessen und verhältnismäßig" im Sinne dieser Bestimmung.
Dies gelte auch, soweit die Speicherung der IP-Adressen einen im Einzelfall bestehenden Anhaltspunkt für einen unzulässigen Gebrauch des Internets nicht voraussetze. Zwar habe die Generalanwältin des Gerichtshofs der Europäischen Union D in ihren Schlussanträgen in der Rechtssache "Promusicae" (C-275/06) Zweifel daran geäußert, ob die Speicherung von Verkehrsdaten aller Nutzer ohne einen konkreten Verdacht gemäß Art. 15 Abs. 1 RL, wie sie im dortigen Fall zur Durchsetzung von Urheberrechten für allerdings erheblich längere Dauer in Rede gestanden habe, mit Grundrechten vereinbar sei (Slg. 2008 S. 1-271, 296 Rn. 82). Der Gerichtshof habe diese Bedenken in seinem Urteil zu jener Sache jedoch nicht aufgegriffen. Vielmehr habe er lediglich ausgeführt, die Richtlinie 2002/58/EG gebiete zur Wahrung der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (Achtung des Privatlebens und Schutz personenbezogener Daten) die Herstellung eines angemessenen Gleichgewichts zwischen diesen Rechten einerseits und den Rechten und Interessen, denen die Datenerhebung und -Verarbeitung dienen solle, andererseits. Dabei komme den Mitgliedstaaten ein Beurteilungsspielraum beim Erlass der Umsetzungsmaßnahmen zu, die an die verschiedenen denkbaren Sachverhalte angepasst werden könnten.
Hieraus ergebe sich, dass der Gerichtshof eine anlasslose €Vorratsdatenspeicherung" nicht per se für unzulässig halte, sondern sie vielmehr unter der Voraussetzung einer €dem Beurteilungsermessen der Mitgliedstaaten überlassenen und hier aus den oben dargestellten Gründen gegebenen € angemessenen Abwägung der betroffenen Belange für (europa-)rechtlich möglich halte.
Einer Vorlage der Sache an den Gerichtshof der Europäischen Union (Art. 267 Abs. 2, 3 AEUV) bedürfe es trotz der hohen Hürden für den Verzicht auf diese Maßnahme nicht. Die vorstehenden Schlussfolgerungen seien ohne weiteres aus dem eindeutigen Wortlaut des Art. 15 Abs. 1 RL und der zitierten Entscheidung des Gerichtshofs zu ziehen. Hinsichtlich der Abwägung zwischen dem Fernmeldegeheimnis sowie dem Recht der Internetnutzer auf informationelle Selbstbestimmung einerseits und den Belangen der Beklagten sowie der übrigen Nutzer und den öffentlichen Interessen an der Funktionstüchtigkeit der Telekommunikationssystems andererseits sei insbesondere zu berücksichtigen, dass die Richtlinie den Mitgliedstaaten bei der Gewichtung der widerstreitenden Interessen einen Beurteilungsspielraum eröffne.Ein solcher sei nur bei offensichtlich unverhältnismäßigen nationalen Maßnahmen überschritten. Dass die der Auslegung von §100 Abs. 1 TKG zugrunde liegende Abwägung der wechselseitigen Belange nicht offensichtlich unverhältnismäßig sei, liege auf der Hand. Aus diesen Gründen sei die richtige Anwendung des Unionsrechts derart offenkundig, dass für einen vernünftigen Zweifel kein Raum mehr verbleibe und eine Vorlage nach Art. 267Abs. 2, 3 AEUV damit nicht geboten sei (acte clair).
Wegen der weiteren Einzelheiten und des genauen Wortlauts des Urteils des Bundesgerichtshofes vom 13.01.2011 wird auf Blatt 55€ 66 des sechsten Bandes der Gerichtsakten Bezug genommen und auf die entsprechenden Veröffentlichungen in MMR 2011, 341 ff sowie in NJW 2011, 1509 ff verwiesen.
Der nunmehr erneut zur Entscheidung berufene 13. Zivilsenat hat die Entscheidung des Bundesgerichtshofes vom 13.01.2011 zum Anlass genommen, wieder in die mündliche Verhandlung einzutreten.
Beide Parteien haben von ihrem Recht Gebrauch gemacht, sich in tatsächlicher und rechtlicher Hinsicht nochmals zu äußern. Wegen der Details ihres weiteren Vorbringens wird auf die gewechselten Schriftsätze sowie auf die aus Anlass der mündlichen Verhandlungen vom 8.06.2011 (vgl. das Protokoll Blatt 1266 € 1271 d. A.)und vom 3.07.2013 (vgl. Blatt 1623 € 1650 d. A.) abgegebenen Erklärungen verwiesen.
Der Kläger hält an seinem zweitinstanzlichen Begehren unverändert fest. Er beantragt auch weiterhin,
das Urteil der 10. Zivilkammer € Einzelrichterin €des Landgerichts Darmstadt vom 6.06.2007 abzuändern und die Beklagte zu verurteilen, die IP-Adressen, welche sie den von dem Kläger genutzten Internet-Rechnern zuweist, sofort nach dem jeweiligen Ende der Internetverbindungen zu löschen.
Die Beklagte beantragt,
die Berufung zurückzuweisen.
Über ihren Schriftsatz vom 16.09.2011 hat die Beklagte klargestellt, dass sich seit Beginn des Rechtsstreits technisch einige Veränderungen ergeben hätten, weshalb eine Notwendigkeit zur Speicherung der dynamischen IP-Adressen zum Zwecke der Entgeltermittlung und Abrechnung inzwischen nicht mehr bestehe (vgl. Blatt 1396 f, 1403 f d. A.).
Auf den Erlaubnistatbestand nach §§ 96 I 3, 100 I TKG beruft die Beklagte sich auch weiterhin und macht unter Vorlage zweier Privatgutachten des C (Fachbereich Informatik der Universität O1)vom 11.05.2011 (vgl. Blatt 1229 € 1240 d. A.) und 3.04.2013(vgl. Blatt 1564 € 1566 d. A.) nach wie vor geltend,angesichts der stark ansteigenden Risiken durch Angriffe aus dem Internet sei eine Speicherdauer von 7 Tagen nicht nur angemessen und dringend geboten, sondern auch in jeder Hinsicht angemessen.
Unter Berücksichtigung der Ausführungen im Revisionsurteil vom 13.01.2011 hat der Senat gemäß Beweisbeschluss vom 21.09.2011 (vgl.Blatt 1401 € 1404 d. A.) in der Fassung des Hinweis- und Beweisbeschlusses vom 2.11.2011 (vgl. Blatt 1428 € 1432 d.A.) Beweis erhoben durch Einholung eines schriftlichen Gutachtens des Sachverständigen B (Lehrstuhl für Systemsicherheit der €-Universität O2) vom 28.12.2012, das als Blatt 1507 €1525 zu den Akten genommen worden ist.
Der gerichtlich bestellte Sachverständige hat sein Gutachten im Rahmen der mündlichen Verhandlung vom 3.07.2013 erläutert und vertieft. Insoweit wird auf Blatt 1623 € 1650 d. A. Bezug genommen.
II.
Die Berufung des Klägers ist aus den € insoweit nicht angegriffenen, fortgeltenden € Erwägungen im Urteil des Oberlandesgerichts vom 16.06.2010 (vgl. dort Seite 22 f = Blatt 1022 f d. A.) zulässig.
Aus den dort genannten Gründen ist es prozessual insbesondere nicht zu beanstanden, dass der Kläger sein Rechtsmittel auf den erstinstanzlichen Urteilsausspruch zu 1) beschränkt hat, mit dem das Landgericht dem klägerischen Antrag nur zum Teil stattgegeben und die Beklagte hinsichtlich der dynamischen IP-Adressen lediglich verurteilt hat, diese sieben Tage nach dem jeweiligen Ende der Internetverbindung zu löschen.
In der Sache selbst bleibt der Berufung allerdings der Erfolg versagt.
Der angefochtene Teil des Urteils der 10. Zivilkammer des Landgerichts Darmstadt vom 6.06.2007, wonach die Beklagte im Verhältnis zum Kläger verpflichtet ist, €die IP-Adressen,welche sie den von dem Kläger genutzten Internet-Rechnern zuweist,sieben Tage nach dem jeweiligen Ende der Internetverbindung zu löschen€, bedarf unter Berücksichtigung der überzeugenden Ausführungen im Revisionsurteil vom 13.03.2011 unter Berücksichtigung des Ergebnisses der Beweisaufnahme keiner Korrektur.
Der Kläger hat gegenüber der Beklagten keinen Anspruch darauf,dass die seinen Nutzungsvorgängen jeweils zugeteilten IP-Adressen €sofort€ nach der Beendigung der jeweiligen Internetverbindung (Session) gelöscht werden.
Nachdem die Beklagte nach Abschluss des Revisionsverfahrens klargestellt hat, dass auf Grund technischer Veränderungen aus ihrer Sicht zwischenzeitlich keine Notwendigkeit mehr besteht, die dynamischen IP-Adressen zum Zwecke der Entgeltermittlung und Abrechnung sieben Tage lang zu speichern, kann sie sich zur Rechtfertigung ihrer gleichwohl geübten Speicherpraxis zwar nicht auf § 97 I 1, II Nr. 1 TKG berufen.
Die Rechtfertigung der Speicherpraxis der Beklagte folgt jedoch aus dem in §§ 96 I 3, 100 I TKG geregelten Erlaubnistatbestand.
Danach darf der Diensteanbieter Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden, soweit dies €zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern der Telekommunikationsanlagen€€erforderlich€ ist.
Aus den vorstehend wiedergegebenen Erwägungen im Revisionsurteil des Bundesgerichtshofs vom 13.01.2011 ergibt sich zwanglos, dass es sich bei den jeweils vergebenen dynamischen IP-Adressen um Verkehrsdaten handelt, die in § 100 I TKG angesprochen werden und deshalb unter den dort geregelten Voraussetzungen gespeichert werden dürfen.
Insoweit wurde die im Berufungsurteil vom 16.06.2010vorgenommene rechtliche Würdigung - mit prozessualer Bindungswirkung nach 563 II ZPO - bestätigt.
Unter Berücksichtigung der Revisionsentscheidung besteht ferner Klarheit darüber, dass der in der vorliegenden Sache zur Entscheidung berufene Senat mit Rücksicht auf die Auffassung des Bundesbeauftragten für Datenschutz und Informationsfreiheit (vgl.den offenen Brief den Bundesbeauftragten vom 16.03.2007, im Internet abrufbar unter http://web10.ub.uni-rostock.de/uploads/sima-nowski/ma/schaar2007.htm)davon ausgehen durfte und muss, dass, sofern die Speicherung der dynamischen IP-Adressen notwendig ist, um unter anderem der Versendung von Spam-Mails und Denial-of-Service-Attacken entgegen zu wirken, die Beklagte nicht vor Ablauf von sieben Tagen zur Löschung verpflichtet ist.
Mit prozessual bindender Wirkung hat der Bundesgerichtshof die Auffassung des Berufungsgerichts auch insoweit geteilt, als dieses davon ausgegangen ist, dass eine abzuwehrende Störung im Sinne des § 100 Abs. 1 TKG unter anderem dann vorliegt, wenn Internetdienstleister bestimmte IP-Adressbereiche eines anderen Internetanbieters € hier der Beklagten € sperren, weil von ihnen Schad-Programme oder massenweise sogenannte Spam-Mails versandt werden oder "Denial-of-Service- Attacken"ausgehen. Denn der Begriff der Störung ist umfassend und erfasst jede vom Diensteanbieter nicht gewollte Veränderung der von ihm für sein Telekommunikationsangebot genutzten technischen Einrichtungen.Der Begriff der Telekommunikationsanlagen in § 100 Abs. 1 TKGschließt nach der Legaldefinition des § 3 Nr. 23 TKG neben den technischen Einrichtungen insbesondere auch das gesamte System ein.Auch die Sperrung der von dem Diensteanbieter vorgehaltenen IP-Adress-Kontingente stellt somit eine Veränderung der Telekommunikationsanlagen dar, die sodann nicht mehr nutzbar sind.
Der Bundesgerichtshof hat die rechtliche Würdigung des Berufungsgerichtes auch insoweit geteilt, als im aufgehobenen Urteil ausgeführt worden ist, dass die Phase des €Erkennens€ von Störungen und Fehlern nicht erst dann einsetzen darf, wenn sich Fehlfunktionen bereits eingestellt haben.Die in § 100 Abs. 1 TKG geregelte Befugnis zur Erhebung und Verwendung von Daten setzt auch unter Berücksichtigung des Fernmeldegeheimnisses (Art. 10 Abs. 1 GG, § 88 TKG) und des Grundrechts auf informationelle Selbstbestimmung (Art. 1 Abs. 1,Art. 2 Abs. 1 GG) nicht voraus, dass im Einzelfall bereits Anhaltspunkte für eine Störung oder einen Fehler an den Telekommunikationsanlagen vorliegen. Entgegen der vom Kläger im Revisionsrechtszug und nach wie vor vertretenen Auffassung genügt es vielmehr, dass die in Rede stehende Datenerhebung und -Verwendung geeignet, erforderlich und im engeren Sinn verhältnismäßig ist, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebes entgegenzuwirken. Das "Erkennen" von Störungen und Fehlern findet in der Regel in einem Stadium statt, in dem Anhaltspunkte hierfür erst gewonnen werden, also ein konkreter Verdacht noch nicht bestehen muss.
Mit dem Bundesgerichtshof ist ferner davon auszugehen, dass §100 TKG bei dieser Auslegung auch keinen verfassungsrechtlichen Bedenken begegnet.
§ 100 TKG greift zwar, soweit er die Erhebung und Verwendung von Telekommunikationsdaten erlaubt, in den Anspruch des einzelnen Nutzers auf Wahrung des Fernmeldegeheimnisses (Art. 10 Abs. 1 GG, §88 TKG) und sein Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 1, Art. 2 Abs. 1 GG) ein, denn insbesondere Art. 10Abs. 1 GG begründet nicht nur ein Abwehrrecht gegen den Staat,sondern auch einen Auftrag an diesen, Schutzmechanismen insoweit vorzusehen, als Private sich Zugriff auf Kommunikationsdaten verschafften. Diese Rechte müssen jedoch mit den berechtigten Belangen der Telekommunikationsunternehmen, mit öffentlichen Interessen und mit den übrigen Interessen der Kunden abgewogen werden.
§ 100 TKG bringt die Rechte der Nutzer aus Art. 1 Abs. 1, Art. 2Abs. 1 und Art. 10 Abs. 1 GG mit den gleichfalls grundrechtlich geschützten Rechten des Diensteanbieters aus Art. 12 Abs. 1 und Art. 14 Abs. 1 GG sowie mit dem legitimen Interesse der Nutzer und dem öffentlichen Interesse (§ 109 Abs. 1 Nr. 2, Abs. 2 TKG) an der Funktions- und Leistungsfähigkeit des Telekommunikationssystems zum Ausgleich. Die präventive Erhebung und Verwertung von Daten wird dabei nicht unbegrenzt erlaubt, auch wenn eine abstrakte Gefahr von Störungen und Fehlern an Telekommunikationsanlagen genügt. Vielmehr werden die Befugnisse des Diensteanbieters durch den Verhältnismäßigkeitsgrundsatz strikt begrenzt.
Aus den Gründen des Revisionsurteils, denen das Berufungsgericht sich vollinhaltlich anschließt, wahrt die anlasslose, jedoch auf sieben Tage begrenzte Speicherung der jeweils genutzten IP-Adressen dann die Verhältnismäßigkeit, wenn ihre technische Erforderlichkeit für die Zwecke des § 100 Abs. 1 TKG gegeben ist. Die bloße Speicherung der IP-Adressen stellt für sich gesehen noch keinen schwerwiegenden Eingriff in die Grundrechte der Nutzer dar. Denn von maßgebender Bedeutung für das Gewicht des Grundrechtseingriffs ist die Persönlichkeitsrelevanz der Informationen, die von der informationsbezogenen Maßnahme erfasst werden.
Die Identität des jeweiligen Internetnutzers ist aus der IP-Nummer selbst nicht zu entnehmen. Sie ist überhaupt erst durch die Zusammenführung mit weiteren Angaben zu ermitteln. Diese findet jedoch nach dem wechselseitigen Vorbringen der Parteien für die Zwecke des § 100 Abs. 1 TKG nur bei dem konkreten Verdacht einer Störung oder eines Fehlers an den Telekommunikationsanlagen statt.Die Speicherung ist zudem auf einen sehr kurzen Zeitraum begrenzt.
Aus den Gründen des Urteils des Bundesgerichtshof vom 13.01.2011bestehen auch keine sonstigen Bedenken gegen die Verhältnismäßigkeit der streitgegenständlichen Speicherpraxis.Informationserhebungen gegenüber Personen, die den Eingriff durch ihr Verhalten nicht veranlasst hätten, sind zwar grundsätzlich von höherer Eingriffsintensität als anlassbezogene. Soweit Personen,die keinen Erhebungsanlass gegeben haben, in großer Zahl in den Wirkungsbereich einer Maßnahme einbezogen werden, kann von ihr auch ein allgemeiner Einschüchterungseffekte ausgehen, der zu Beeinträchtigungen bei der Ausübung von Grundrechten führen könnte.Insbesondere die Unbefangenheit des Verhaltens wird gefährdet, wenn die Streubreite von Ermittlungsmaßnahmen dazu beiträgt, dass Risiken des Missbrauchs und ein Gefühl des Überwachtwerdens entstehen. Diese € zu strafprozessualen sowie präventiv-polizeilichen und geheimdienstlichen Eingriffen entwickelte € Rechtsprechung kann auf die vorliegende Fallgestaltung aber nicht ohne Abstriche übertragen werden.
Die Intensität des Eingriffs für den Grundrechtsträger wird maßgeblich davon beeinflusst, welche Nachteile ihm über die Informationserhebung hinaus drohen und/oder von ihm nicht ohne Grund befürchtet werden. Die kurzzeitige Speicherung der dynamischen IP-Adressen durch die Beklagte zum Zweck des Erkennens,des Eingrenzens und der Beseitigung von Störungen und Fehlern und damit des Schutzes ebenfalls teilweise grundrechtlich geschützter Rechte und öffentlicher Interessen zielt nicht auf Maßnahmen hoheitlicher Repression oder Verhaltensüberwachung ab. Eine Identifizierung des Anschlusses, dem die IP-Adresse zugeteilt wurde, findet für die Zwecke des § 100 Abs. 1 TKG überdies erst bei einem konkreten Anlass statt. Die Speicherung der IP-Adressen ist daher, wenn überhaupt, lediglich in sehr geringem Maß geeignet,einzuschüchtern oder auch nur die Unbefangenheit des Kunden bei der Nutzung des Internets zu beeinträchtigen.
Demgegenüber sind die Interessen, denen die Datenspeicherung dient, von erheblichem Gewicht. Sofern die IP-Nummern zum Erkennen,Eingrenzen oder Beseitigen von Störungen oder Fehlern notwendig sind, führt der Verzicht auf die von der Beklagten praktizierten Speicherung angesichts der gerichtsbekannten Häufigkeit der Versendung von Spam-Mails, Schad- und Spionageprogrammen und der "Denial-of-Service-Attacken" zu einer schwerwiegenden und nachhaltigen Beeinträchtigung der Kommunikationsinfrastruktur; und zwar auf Dauer und zum Schaden der Beklagten und aller ihrer Nutzer.
Insgesamt ist daher mit dem Bundesgerichtshof davon auszugehen,dass der mit der streitgegenständlichen Speicherung verbundene Eingriff in die Rechte der Nutzer vergleichsweise gering ist und die legitimen, teilweise ebenfalls grundrechtlich abgesicherten Interessen der Beklagten und ihrer Kunden und die öffentlichen Interessen an der Funktionstüchtigkeit und Leistungsfähigkeit der Telekommunikationsinfrastruktur nicht überwiegt.
Aus den vorstehend wiedergegebenen, überzeugenden und prozessual bindenden Erwägungen des Bundesgerichtshofes im Urteil vom 13.01.2011, die der Senat sich vollinhaltlich zu eigen macht und auf die zur Vermeidung von Wiederholungen Bezug genommen wird (vgl.Seite 19 bis 21 der in MMR 2011, 341 ff sowie in NJW 2011, 1509 ff veröffentlichten Entscheidung), ist § 100 I TKG bei dieser Auslegung auch mit dem europäischen Recht vereinbar. Eine Vorlage der Sache an den Gerichtshof der Europäischen Union ist nicht geboten.
Vor diesem Hintergrund und unter Beachtung der Vorgaben des Bundesgerichtshofes im Urteil vom 13.01.2011 hat der Senat die gebotene Beweisaufnahme durchgeführt und Beweis erhoben über die Behauptung der Beklagten, es sei erforderlich, die nach Einwahl über ihren Radius-Server und nach erfolgreicher Authentifizierung (anhand der angegebenen Kundenkennung und des Passwortes) dem jeweiligen Computer für den jeweiligen Aufbau der Internetverbindung zugeteilte freie IP-Adresse sieben Tage lang zu speichern, damit Störungen an Telekommunikationsanlagen erkannt,eingegrenzt und notfalls beseitigt werden können.
Ausweislich des Beweisbeschlusses vom 2.11.2011 (vgl. Blatt 1428-1432 d. A.) hat das Berufungsgericht im Rahmen seiner prozessleitenden Aufgaben klargestellt, dass mit Hilfe des Sachverständigen geklärt werden soll, ob die von der Beklagten gewählte Speicherpraxis geeignet, erforderlich und im engeren Sinne verhältnismäßig ist, um abstrakten Gefahren für die Funktionstauglichkeit des Telekommunikationsbetriebes der Beklagten entgegenzuwirken. Der Senat hat ferner hervorgehoben, dass der Sachverständige bei seiner Begutachtung davon auszugehen hat, dass die Befugnisse der Beklagten als Diensteanbieter durch den Grundsatz der Verhältnismäßigkeit strikt begrenzt sind, weshalb es insbesondere darauf ankommt, ob und ggf. welche anderen technischen Möglichkeiten zur Verfügung stehen oder genutzt werden können, um eine möglichst verzögerungs- und fehlerfreie und dabei im Sinne des Datenschutzes möglichst nutzerfreundliche Internetnutzung zu ermöglichen. Für den Fall, dass nach Einschätzung des Sachverständigen andere Möglichkeiten in Betracht kommen und/oder geschaffen werden können, um die Funktionstüchtigkeit der Telekommunikationsdienste im vorgenannten Sinne zu gewährleisten,wurde der Sachverständige damit betraut, diese zu beschreiben und insbesondere zu erläutern, ob es bei deren Nutzung zu Abweichungen von internationalen Standards kommen würde, welche Maßnahmen zur Umsetzung etwaiger anderweitiger Möglichkeiten ergriffen werden müssten und welcher zeitliche und € bezogen auf die Einrichtung, die Erhaltung sowie auf etwaige Folgekosten €kostenmäßige Aufwand betrieben werden müsste.
Angesichts des auf dieser Grundlage erstatteten und im Termin zur mündlichen Verhandlung vom 3.07.2013 mündlich erläuterten und vertieften Gutachtens des gerichtlich bestellten Sachverständigen Bvom 28.12.2012 ist der Senat zu der Überzeugung gelangt, dass die Speicherpraxis der Beklagten durch den Erlaubnistatbestand des §100 I TKG gedeckt ist, weil es € jedenfalls nach dem derzeitigen Stand der Technik € keine anderen Möglichkeiten gibt, Störungen der Telekommunikationsanlagen zu erkennen,einzugrenzen und notfalls zu beseitigen.
Der Sachverständige hat in sich nachvollziehbar dargelegt, dass bei der Beklagten pro Monat mehr als 500.000 Abuse-Meldungen eingehen.
Circa 162.000 dieser Abuse-Meldungen stehen im Zusammenhang mit Spams. Diese Vorfälle werden typischerweise von Botnetzen ausgelöst und führen als Nebeneffekt nicht nur zu unerwünschter Werbung,sondern auch zu Kaperungen von Accounts oder Rechnern, zum Diebstahl von Informationen oder ähnliche Missbräuchen. Derartige Angriffe ermöglichen Cyberkriminellen monetäre Vorteile, weil gestohlene Informationen z. B. in Untergrundforen verkauft oder gekaperte Computer zum Versand von Spam-Nachrichten benutzt werden.
Etwa 164.000 der Abuse-Meldungen stehen im Zusammenhang mit Angriffen auf Business-Kunden und haben damit potentiell direkten Einfluss auf die Infrastruktur und Dienste der Beklagten.
Daneben gibt es weitere Abuse-Meldungen, die vorwiegend im Zusammenhang mit Schadcodes auf Webseiten, Hacking, Portscans und anderen Arten von Missbräuchen stehen.
Der Sachverständige hat weiter plausibel dargelegt, dass den vorstehend beschriebenen Missbräuchen, die der Beklagten durch die entsprechenden Meldungen bekannt werden, durch ein geeignetes Abuse-Handling entgegengewirkt werden muss.
Denn unbehandelte Abuse-Meldungen erlauben es Angreifern, den von ihnen einmal in Gang gesetzten Missbrauch ungestört fortzusetzen und mehr Spams zu versenden, mehr Rechner auszuspähen,größere Botnetze zu erstellen, mehr Hacking-Angriffe auf die Kundeninfrastruktur der Beklagten auszuführen und ähnliche Angriffe durchzuführen.
Durch das Abuse-Handling der Beklagten wird es überhaupt erst ermöglicht, eine große Zahl an infizierten Rechnern zeitnah herauszufiltern. Wollte man das von der Beklagten eingeführte Sicherheitssystem unterbinden oder in zeitlicher oder sonstiger Weise stärker einschränken, als die Beklagte dies bereits in Absprache mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit getan hat, würde die Zahl der infizierten Rechner nicht nur konstant bleiben, sie würde vielmehr € bei entsprechender Zunahme von Spams € ständig zunehmen.
Der Senat ist auf Grund des Gutachtens des gerichtlich bestellten Sachverständigen davon überzeugt, dass das Abuse-Handling der Beklagten es ermöglicht, derartige Missbräuche bereits im Vorfeld einzudämmen. So werden bei ca. 500.000Abuse-Meldungen pro Monat unter anderem ca. 20.000 Nutzer von infizierten Rechnern über den von diesen regelmäßig nicht erkannten Missbrauch in Kenntnis gesetzt und darüber informiert, wie der Missbrauch behoben werden kann.
Ohne das von der Beklagten praktizierte Abuse-Handling könnte es, so hat der Sachverständige nachvollziehbar dargelegt, neben den beschriebenen Missbräuchen auch zu starken Belastungen €unter Umständen auch zu Überlastungen € des Systems der Beklagten kommen. Denn die Mailserver werden durch Spams überfrachtet. Solange die Kapazität des Systems der Beklagten ausreicht, bleibt das System zwar noch funktionstüchtig. Im anderen Fall, also dem Fall der Überlastung, würde dies jedoch dazu führen,dass Mails überhaupt nicht mehr angenommen werden könnten. Bei der sogenannten Denial-of-Service-Attacke ist die Leistungskapazität erschöpft. Derartige Stabilitätsprobleme sind in der momentanen Praxis zwar glücklicherweise eher selten, würden aber ohne ein entsprechendes Abuse-Handling-System häufiger auftreten; und zwar mit nicht auszuschließenden Auswirkungen auch auf andere Netzbetreiber in Deutschland.
Vor diesem Hintergrund hat der Sachverständige in sich stimmig und nachvollziehbar erläutert, dass das von der Beklagten entwickelte System des Abuse-Handlings nicht nur aus den vorstehend beschriebenen Gründen erforderlich ist und beibehalten werden muss,sondern auch dazu geführt hat, dass es betreffend den der Beklagten zugeteilten IP-Adress-Pool in den letzten fünf bis sieben Jahren nur zu zwischen fünf und sieben Fällen eines sogenannten Blacklistings gekommen ist, bei denen andere Telekommunikationsunternehmen einen bestimmten Adressraum der Beklagten wegen der von dort massenweise ausgehenden Spams komplett gesperrt haben mit der Folge, dass aus dem gesperrten Adressraum kommende Mails € mochten sie legitim sein oder nicht €überhaupt nicht mehr angenommen worden sind.
Bei Dienstleistern wie €Spamhouse€, die sogenannte Blacklists von denjenigen IP-Adress-Räumen aufstellen, von denen auffällig viele Störungen ausgehen, hat die Beklagte deshalb auch einen besseren Ruf als andere Diensteanbieter, was sich etwa dann,wenn z. B. eine IP-Adresse fälschlicherweise auf der Blacklist steht, für den jeweiligen Nutzer positiv auswirken kann, weil er schneller von der Liste genommen wird.
Der gerichtlich bestellte Sachverständige hat € neben der vorstehend beschriebenen und grundsätzlichen Sinnhaftigkeit des Abuse-Handlings der Beklagten € darüber hinaus überprüft, ob Veränderungen denkbar sind, mit Hilfe derer die Speicherung der IP-Adressen für sieben Tage überflüssig werden könnte. Er hat ferner untersucht, ob entgegen der mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit abgestimmten Einschätzung der Beklagten zumindest der Speicher-Zeitraum verkürzt werden könnte.
Insoweit hat der Sachverständige in seinem Gutachten die Möglichkeiten eines sogenannten €Opt-Out€ hinterfragt und herausgearbeitet, dass es technisch grundsätzlich möglich ist,einzelne Kunden gesondert zu behandeln und sie bei entsprechendem Wunsch von der Speicherung der IP-Adresse auszunehmen.
Mit dem Sachverständigen ist aber im Ergebnis davon auszugehen,dass die Beklagte schon deshalb nicht gehalten ist, von diesen technischen Möglichkeiten Gebrauch zu machen, weil dadurch ihr gesamtes Sicherheitssystem auch zum Nachteil der Allgemeinheit unterminiert würde.
Denn einerseits wäre in Bezug auf Opt-Out-Kunden keinerlei Abuse-Handling mehr möglich, was zur Folge hätte, dass deren Rechner im Missbrauchsfall nicht identifiziert und folglich nicht desinfiziert werden könnten. Bei steigender Zahl von Opt-Out-Kunden könnte dies zu den vorstehend beschriebenen Belastungen oder gar Überlastungen des kompletten Systems der Beklagten führen.
Andererseits würden potenzielle Angreifer durch die Nutzung der Opt-Out-Option ohne Weiteres in die Lage versetzt, eine Kennung bei der Beklagten registrieren zu lassen und über diesen Anschluss im Internet Missbrauch zu betreiben. Diesen Möglichkeiten gilt es nach Einschätzung des Senats auch unter Berücksichtigung sogenannter Anonymisierungsdienste (wie z. TOR, DMS04) entgegen zu wirken.
Denn der im Raume stehende Schaden für die von der Beklagten vorgehaltene Infrastruktur sowie die Allgemeinheit, der dadurch entstehen kann, dass eine Vielzahl von Kunden und damit auch potenzielle Angreifer die Opt-Out-Variante wählen und damit keinem Abuse-Handling unterworfen sind, ist auch nach Einschätzung des Sachverständigen unkalkulierbar. Angesichts der geschilderten Risiken ermöglichen € soweit es für den gerichtlich bestellten Gutachter feststellbar war € auch andere Provider in Deutschland kein Opt-Out.
Die im Gutachten des Sachverständigen B angesprochene und theoretisch bestehende Möglichkeit einer sogenannten Pseudonymisierung, bei der eine IP-Adresse nicht gespeichert würde,scheidet zur Überzeugung des Senats von vornherein aus.
Zwar könnte durch eine Pseudonymisierung erreicht werden, dass die Kundenkennung nicht mit der IP-Adresse, sondern mit einer zusätzlichen Zeichenkette verknüpft wird, die die Beklagte €anders als bei der IP-Adresse € nicht automatisch einem bestimmten Kunden zuordnen könnte. Die Pseudonymsierung müsste aber in jedem einzelnen Fall eines festgestellten Missbrauchs wieder aufgehoben werden. Dazu müsste jeweils eine vertrauenswürdige Stelle (ob in Form einer Entscheidung eines Ombudsmanns, eines Datenschutzbeauftragten oder eines Gerichts muss hier nicht weiter hinterfragt werden) angerufen werden. Dass diese Möglichkeit in der Praxis zu einem nicht vertretbaren Aufwand führen würde, liegt schon deshalb auf der Hand, weil es im Kern nicht zuletzt auch um diejenigen Fälle geht, bei denen die Beklagte die Nutzer von infizierten Rechnern über den im Rahmen des Abuse-Handlings festgestellten Missbrauch in Kenntnis setzt und bei der nötigen Desinfizierung durch schriftliche Meldungen unterstützt. Dass es sich dabei um etwa 20.000 Fälle pro Monat handelt, hat der Sachverständige nachvollziehbar und unwidersprochen dargelegt.
Aufgrund der Erörterungen in der mündlichen Verhandlung vom 3.07.2013, im Rahmen derer der Sachverständigen B sein schriftliches Gutachten vom 28.12.2012 weiter erläutern und vertiefen konnte, kann zur Überzeugung des Senats auch kein Zweifel daran aufkommen, dass die Beklagte ihr Abuse-Handling auch nicht dergestalt umstellen muss, dass sie statt der €RADIUSStop€-Datensätze die €RADIUS-Start€-Datensätze erfasst, um auf diese Weise einen Zeitvorteil zu erzielen und die anschließende Speicherzeit verkürzen zu können .
Solange die Beklagte im Rahmen ihres Abuse-Handlings € wie bisher und wie auch von anderen Providern praktiziert € die €RADIUS-Stop€-Datensätze einliest und von ihrem Abuse-Team verarbeiten lässt, erlangt sie ausreichende Informationen darüber, von wann bis wann einem bestimmten Nutzer eine bestimmte dynamische IP-Adresse zugeordnet war. Bei einem Missbrauch besteht für sie deshalb die Möglichkeit, den jeweiligen Nutzer zu identifizieren.
Dies wäre dann nicht gewährleistet, wenn die Beklagte die Verarbeitung der Daten auf die €RADIUS-Start€-Datensätze umstellen würde. Eine solche Umstellung würde in einer nicht zu überschauenden Zahl von Fällen dazu führen, dass Rechner, von denen ein Missbrauch ausgeht, nicht erkannt werden können.
Nach Anhörung des Sachverständigen und unter Berücksichtigung der insoweit unstreitig gebliebenen Darlegungen der Beklagten ist nämlich davon auszugehen, dass die Datensätze bei der Beklagten an Werktagen jeweils morgens ab ca. 8.00 Uhr eingelesen werden. Das Einlesen der Datensätze wird dabei jeweils manuell gestartet und zieht sich im Rahmen eines automatisierten Vorgangs sodann über ca.1 ½ bis 2 Stunden hin. Durch diese Handhabung gewährleistet die Beklagte, dass bereits am jeweils laufenden Werktag mit dem Abuse-Handling begonnen werden kann.
Müsste die Beklagte ihr Abuse-Handling auf €RADIUS-Start€-Datensätze umstellen, würde diese Einlese-Praxis unter anderem dazu führen, dass z. B. die IP-Adressen von Usern, die sich abends eingeloggt und ihre Session nach kurzer Zeit beendet haben, noch am selben Abend in den Adress-Pool der Beklagten zurückfallen; und zwar mit der Folge,dass diese IP-Adressen dann beim Einlesen der Datensätze am Morgen des folgenden Tages schon wieder vergeben und (ggf. noch) einem anderen Nutzer zugeordnet sein können. In diesen Fällen könnte eine im Rahmen des Abuse-Handlings festgestellte Störung nur dem erstgenannten User zugeordnet werden. Das Sicherheitssystem der Beklagten wäre lückenhaft und ausgehöhlt.
Aus den vom Sachverständigen B in der mündlichen Anhörung dargelegten Gründen ist daher davon auszugehen, dass die Beklagte schon deshalb nicht auf €RADIUS-Start€-Datensätze umstellen muss, weil sie dann trotzdem noch die €RADIUS-Stop€-Datensätze erfassen müsste, um die nötige Sicherheit zu gewährleisten.
Unter Berücksichtigung der Ausführungen des Sachverständigen wäre es im Sinne des vom Kläger verfolgten Interesses auch nicht etwa förderlich, wenn die Beklagte die €RADIUS-Stop€-Datensätze statt einmal pro Tag mehrmals pro Tag einlesen ließe.
Denn auf Grund der unwidersprochen gebliebenen Erklärungen der Beklagten in der mündlichen Verhandlung vom 3.07.2013 ist davon auszugehen, dass zeitlich nach dem von der Beklagten praktizierten Einlesen der Datensätze, mit dem an Werktagen jeweils gegen 8.00Uhr begonnen wird, auch diejenigen Mitarbeiter zur Verfügung stehen, die das Abuse-Handling durch die notwendigen manuellen Interaktionen € und zwar nicht nur mit den übrigen Mitarbeitern der Beklagten, sondern auch mit Mitarbeitern von Drittunternehmen, also nicht zuletzt mit Mitarbeiter des von der Beklagten eingeschalteten externen Dienstleisters, von Sicherheitsunternehmen sowie von SMS-Dienstleistern und sogenannten Load-Portalen, über die Musik, Software und/oder Spiele geladen werden € begleiten können und müssen. Denn nur ein Teil des Abuse-Handlings läuft im Rahmen automatisierter Vorgänge ab.
Wollte man also von der Beklagten fordern, die Datensätze mehrmals am Tag einzulesen, dann würde dies nur dann einen Sinn machen, wenn das vorstehend beschriebene und manuelle Interaktionen erfordernde Abuse-Handling auch nachts bewerkstelligt werden könnte. Das wiederum ist schon deshalb nicht denkbar, weil nicht gewährleistet ist, dass auch die Mitarbeiter der vorstehend genannten Dritt-Unternehmen, mit denen die Beklagte im Rahmen des Abuse-Handlings zusammenarbeiten muss, rund um die Uhr arbeiten.
Nur am Rande sei daher erwähnt, dass der Zeitraum, für den die IP-Adressen gespeichert bleiben müssen, auch bei einem mehrmaligen Einlesen der IP-Adressen und selbst bei Schichtarbeit in der Nacht nach Einschätzung des gerichtlich bestellten Sachverständigen tendenziell nur um einige Stunden verkürzt würde. Auch vor diesem Hintergrund und unter Berücksichtigung der durch die dann nötige Nachtarbeit bedingten Umstellungen und Mehrkosten erscheint es nicht unverhältnismäßig, die mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit abgestimmte Speicherpraxis der Beklagten zu dulden.
Soweit der Sachverständige B in seinem schriftlichen Gutachten vom 28.12.2012 herausgearbeitet hat, dass bei der Beklagten an Wochenenden kein Abuse-Handling durchgeführt wird, hatte der Senat darüber hinaus zu klären, ob von der Beklagten eine Umstellung auf ein tägliches Abuse-Handling gefordert werden kann und muss und ob dadurch eine Verkürzung der Speicherzeit überhaupt zu erreichen ist.
Nach eingehender Erörterung dieser potenziellen Möglichkeit in der mündlichen Verhandlung vom 3.07.2013 kann zwar nicht ernsthaft in Abrede gestellt werden, dass es der Beklagten möglich wäre, eine mit entsprechendem Kostenaufwand verbundene Aufstockung der von ihr selbst im Abuse-Handling eingesetzten internen und externen Mitarbeiter zu bewirken.
Damit allein wäre aber keineswegs ein zügigerer Abschluss des Abuse-Handlings gewährleistet.
Aufgrund der durch die Anhörung des Sachverständigen gewonnenen Erkenntnisse ist nämlich davon auszugehen, dass nur in wenigen Bereichen bzw. Unternehmen außerhalb der üblichen Geschäftszeiten bzw. an Wochenenden gearbeitet wird. So ist z. B. CERT-Bund, das Abuse-Team des Bundesamtes für Sicherheit in der Informationstechnik, nur zu den üblichen Geschäftszeiten und damit nur an Wochentagen besetzt. Auch sicherheitsrelevante privatwirtschaftlich organisierte Unternehmen und andere Abuse-Teams arbeiten, wie der Sachverständige aus eigener Erfahrung bestätigt hat, regelmäßig nur an Werktagen und zu den üblichen Arbeitszeiten.
Das hat zur Folge, dass auch in diesen Unternehmen an Wochenenden praktisch nur die leichten und über automatisierte Vorgänge zu erledigenden Abuse-Fälle überprüft werden, während komplizierte Vorgänge des Abuse-Handlings auch dort nur an Werktagen abgearbeitet werden.
Für die Beklagte bedeutet dies nicht nur, dass eine interaktive Erledigung der komplexeren Abuse-Fälle € und diese fallen nach Einschätzung des Sachverständigen immerhin mit einer Quote von 10 % des gesamten Abuse-Aufkommens ins Gewicht € nur an Werktagen bearbeitet werden können.
Es kommt vielmehr auch hinzu, dass ein Teil der Abuse-Meldungen durch die ebenfalls auf die Werktage begrenzten Arbeitszeiten der Drittunternehmen (z. B. der sicherheitstechnischen Unternehmen) nur zeitversetzt bei der Beklagten eingehen.
Über Sicherheitsunternehmen laufen bei der Beklagten zwar auch an Wochenenden Abuse-Meldungen auf, soweit diese in den jeweiligen Unternehmen durch automatisierte Vorgänge gesteuert werden. Auch Abuse-Meldungen einzelner User gehen bei der Beklagten an Wochenenden ein. Dieser Teil der Abuse-Meldungen kann zwar auch bei der Beklagten an Wochenenden im Rahmen automatisierter Vorgänge erledigt werden.
Durch das arbeitsfreie Wochenende gehen die in Sicherheitsunternehmen manuell zu bearbeitenden Meldungen jedoch erst zu Beginn der jeweiligen Arbeitswoche bei der Beklagten ein.Deshalb € nicht zuletzt aber auch durch das Verhalten der Nutzer an Wochenenden € kommt es nach Wochenenden und nach Feiertagen, also vor allen Dingen zu Beginn der neuen Arbeitswoche zu einem vermehrten Aufkommen eingehender Abuse-Meldungen, die bei der Beklagten erst montags eingelesen werden können. Davon konnte der Senat sich aufgrund der in der mündlichen Verhandlung vom 3.07.2013 erfolgten Darlegungen der Beklagten überzeugen, die nicht nur nachvollziehbar und unstreitig geblieben sind, sondern auch vom gerichtlich bestellten Sachverständigen bestätigt werden konnten.
Bereits vor diesem Hintergrund stellt sich die von der Beklagten auf sieben Tage beschränkte Speicherung der IP-Adressen zum Zwecke eines sachgerechten Abuse-Handlings als verhältnismäßig dar.
Es kommt hinzu, dass der gerichtlich bestellte Sachverständige Bdas Ergebnis des von der Beklagten vorgelegten Privatgutachtens des Sachverständigen C auch insoweit bestätigt hat, als beide Sachverständige zu der Überzeugung gelangt sind, dass die Beklagte fünf Werktage benötigt, um die anfallenden Abuse-Meldungen sachgerecht und zum effizienten Schutz ihrer Infrastruktur abzuarbeiten. Angesichts der € nicht nur im Unternehmen der Beklagten € arbeitsfreien Wochenenden führt dies zwangsläufig dazu, dass diejenigen Abuse-Meldungen, die erst am Freitag oder am Wochenende eingehen, erst in der folgenden Arbeitswoche erledigt werden können.
Die Beklagte muss also grundsätzlich in die Lage versetzt werden, die IP-Adressen erst sieben Tage nach dem jeweiligen Ende der Internetverbindungen zu löschen.
Das angefochtene Urteil des Landgerichts Darmstadt vom 6.06.2007ist somit in keiner Weise zu beanstanden. Das Landgericht ist vielmehr zu Recht der Einschätzung des Bundesbeauftragten für Datenschutz und Informationsfreiheit gefolgt, der gegen die Speicherpraxis keine Bedenken erhoben hat.
Nach alldem hat es bei der teilweisen Zurückweisung des Klageantrages zu 1) durch das Landgericht zu verbleiben.
Die Berufung des Klägers ist mit der sich aus §§ 97 I ZPOergebenden Kostenfolge zurückzuweisen.
Die Entscheidung zur vorläufigen Vollstreckbarkeit findet ihre Rechtsgrundlage in §§ 708 Ziffer 11, 711, 709 S. 2 ZPO.
Der Senat hat die Revision zugelassen, weil die vorliegende Entscheidung € solange die für verfassungswidrig erklärten Regelungen der §§ 113 a, 113 b TKG nicht durch verfassungsgemäße Bestimmungen ersetzt worden sind € nicht nur von rechtspolitischer, sondern auch von grundsätzlicher Bedeutung im Sinne des § 543 II Ziffer 1 ZPO ist.
Der Umfang und die Voraussetzungen eines datenschutzrechtlichen Unterlassungsanspruchs der vorliegenden Art sind bisher höchstrichterlich noch nicht geklärt. Die vorliegende Entscheidung ist angesichts der öffentlichen Diskussion um die Bedeutung und den Schutz der Privatsphäre im Internet auch von tatsächlichem Gewicht;und zwar nicht nur für die Interessen der Prozessparteien, sondern auch für die Allgemeinheit (vgl. hierzu allgemein: BGH, Beschluss vom 27.03.2003 zum Az. V ZR 291/02, veröffentlicht in NJW 2003,1943 sowie Beschluss vom 18.09.2003 zum Az. V ZB 9/03,veröffentlicht in NJW 2003, 3765).
OLG Frankfurt am Main:
Urteil v. 28.08.2013
Az: 13 U 105/07
Link zum Urteil:
https://www.admody.com/urteilsdatenbank/d36e17a08a87/OLG-Frankfurt-am-Main_Urteil_vom_28-August-2013_Az_13-U-105-07