Nun haben wir den Salat

Der EuGH hat, mal wieder, Recht gesprochen. Vielleicht hätte er besser schweigen sollen.

Wobei, das ging ja nicht, er wurde ja gefragt; insofern ist das eher ein Fall für »hätte ich mal lieber nicht gefragt«, denn der Spruch aus Luxemburg, nunja, der ist, gelinde gesagt, … Kacke.

Nach derzeitigen Kommentaren von (Fach-) Juristen ist es wohl so, daß z. B. die Telekom ihre kostenlosen Hotspots (z. B. derzeit in DB-Lounges und der 1. Klasse im ICE) umstellen muß auf a) Verschlüsselung des Netzes und b) Identitätsfeststellung des Nutzers.

Der technisch überaus fundiert klingenden Meinung des EuGH nach ist dies, Zitat, »in marginaler Weise eine technische Modalität«, die geändert werden muß. Wie das dann praktisch wie technisch ablaufen soll – der WLAN-Zugang ist ja nun WPA2-gesichert, daüber kann also keine Kontaktaufnahme mit dem Anbieter orginär erfolgen – wissen die technischen Adepten aus Luxemburg bestimmt, verraten es uns Laien aber leider nicht.

Seufz. Ich sitze also mal wieder im ICE nach Berlin in der 1. Klasse, finde das verschlüsselte WLAN »Telekom_ICE_EuGH« — und dann? Ohne Kenntnis der Passphrase kann ich mich mit den WLAN nicht verbinden; ohne das WLAN ist die Konnektivität aber arg eingeschränkt, woanders nach der Passphrase zu surfen fällt also flach. Und so einfach die Passphrase an die Wand kleben darf man auch nicht mehr:

Insoweit ist festzustellen, dass eine Maßnahme, die in der Sicherung des Internetanschlusses durch ein Passwort besteht, die Nutzer dieses Anschlusses davon abschrecken kann, ein Urheberrecht oder verwandtes Schutzrecht zu verletzen, soweit diese Nutzer ihre Identität offenbaren müssen, um das erforderliche Passwort zu erhalten, und damit nicht anonym handeln können, was durch das vorlegende Gericht zu überprüfen ist.

Im Post-EuGH-Urteils-ICE muß ich also jetzt losrennen, den Zugbegleiter finden, ihm meinen Ausweis zeigen (wobei, BahnCard sollte reichen), er notiert sich, daß ich im Wagen 27 sitze und er mir die WPA2-Passphrase genannt hat. Mit dem Wissen gehe ich nun in den Speisewagen und starte ein bißchen Filesharing, während ich auf das Mittagessen warte … Sollten Bahn/Telekom in der Lage sein, Internet-Nutzung auf Waggons einzugrenzen (statt nur auf 1. vs. 2. Klasse), wäre ich fein raus, denn Sonys Abmahnung/Auskunftsersuchen liefe ins Leere: aus Wagen 27, wo man mich ja erwartet, hat kein Fahrgast Sonys neusten Blockbuster filegeshared. Falls nur auf Basis 1./2. Klasse unterschieden werden kann, könnte es doof sein, sollte ich der einzige registrierte Fahrgast sein, der die WPA2-Passphrase vom Schaffner bekommen hat; falls aber es mehrere gibt: wer war’s?

Wobei das mit dem WPA2-verschlüsselten WLAN ist (nicht nur) meine erste Interpretation von »Sicherung mit Passwort« gewesen; wie Reto Mantz natürlich korrekt ausführt, steht das (wie vieles andere auch) nicht so im Urteil:

Eines sei noch angemerkt: Der EuGH spricht nicht von Verschlüsselung, sondern von Sicherung. Es dürfte also weiter möglich sein, ein WLAN ohne Verschlüsselung zu betreiben, aber den Zugang – über ein Anmeldeformular – erst denjenigen zu gewähren, die ihre Identität offenbart haben.

Anhand der Geräteadresse könnte man sowas natürlich auch vorab und separat machen, z. B. für 91 Tage eine Registrierung eines Gerätes ermöglichen unter Angabe einer Mailadresse, an die ein Code und eine Rufnummer geschickt werden, und wenn die Rufnummer angerufen wird und der Code eingetippt, wird die Geräteadresse freigeschaltet für den Internetzugang. Der Hotspot-Anbieter hat dann eine Mailadresse (kann Wegwerf-Account sein) und einen Zeitstempel sowie die B-Rufnummer, mit diesen Informationen kann dann ein Anfragender zur Telko des Hotspot-Anbieters gehen und die A-Rufnummer ermitteln lassen (wenn die Einträge nicht schon expired sind ;)). Any­way …

WLAN- bzw. Hotspot-Netze sind anders gestrickt als DSL-Zugänge großer Anbieter. Bei letzteren wähle ich mich ein, bekomme für eine Zeit X (früher für max. 24h, heute z. T. auch für Wochen) eine offizielle IPv4-Adresse zugewiesen (z. B. 203.0.113.5), und diese Zuweisung kann der Anbieter einfach speichern. Fragt dann ein Anwalt der Contentmafia an, wer IP 203.0.113.5 denn am 15.09.2016 von 22:30 bis 22:47 hatte, kann über die Daten von der IP auf die Anschlußkennung auf den Kunden geschlossen werden.

Beim normalen Hotspot-Netz hingegen werden den bis zu ein paar Hundert parallelen Nutzern intern nur sogenannte private IP-Adressen zugewiesen, die typischerweise hinter einer, oder zumindest wenigen, öffentlichen IPv4-Adressen per NAT ins Internet gemappt werden: sofern der Hotspot-Anbieter also keine Listen pflegt, die aussagen, daß interne IP 192.168.0.111 am 15.09.2016 von 22:30 bis 22:47 Datenverbindungen zur IP 8.7.6.5 aufgebaut hatte, wird der Anbieter nur sagen können: »ja, die IP 192.0.2.243 hatte zu dem Zeitpunkt mein Hotspot in der Berliner Straße in Güterloh. Zu dem Zeitpunkt waren 21 Geräte mit dem Hotspot verbunden; Trafficlogs führen wir nicht und können die Nutzung daher nicht weiter eingrenzen.« Sowas wollen Abmahnanwälte wie Contentmafia natürlich nicht; eine Proto­kol­lierungs­pflicht hin­ge­gen lese ich – ich bin kein Anwalt und ich spiele auch keinen im Fern­sehen – bislang aus dem Urteil nicht heraus, ich habe derlei auch noch in keiner der Kommentare dazu gefunden.

Es stellen sich also im Grunde zwei Fragen: was ist eine »Sicherung des Internetanschlusses durch ein Passwort« konkret? Ist damit die Verschlüsselung (per WPA2) des WLANs gemeint, oder ist auch ein offenes WLAN, welches nur bekannten Endgeräten den Zugriff auf’s Internet erlaubt, eine Option?
Und was bedeutet »[daß] diese Nutzer ihre Identität offenbaren müssen, um das erforderliche Passwort zu erhalten, und damit nicht anonym handeln können« in der Praxis? Die schiere Angabe einer »Identität« ist, wie die Verschlüsselung eines WLANs mit einem jedermann bekannten Schlüssel, z. B. der SSID, zweckfrei: Im Ergebnis will Sony ja nicht wissen, daß »Erna«, »Tina«, »Max« und »Moriz« im WLAN waren, sondern wer das »Wir sind Helden«-Album in einer Tauschbörse – widerrechtlich – angeboten hat. Letztere Information allerdings ist bei IPv4-NAT-Netzen nur über Protokollierung jeglichen Datenverkehrs verfügbar; denn eben anders als bei DSL von Telekom, 1&1, o2, Vodafone usw., wo typischerweise jedem Anschluß eine IPv4-Adresse zugewiesen wird, teilen sich bei WLAN-Hotspots (wie auch bei vielen Kabel-Internet- und den meisten Mobilfunk-Anbietern) etliche Endgeräte eine IPv4-Adresse — und nur diese IPv4-Adresse ist es, die im Internet in Erscheinung tritt. Protokolliert man also nicht »vor« dem NAT, wohin Datenverkehre fließen, hat man später keine Information mehr darüber. Sollte der EuGH eine Protokollierung wollen, fordert er nichts weiter als eine VDS, und das nicht einmal in Geschmacksrichtung »light«.

Und Freifunk? Freifunk tangiert das im Prinzip nur periphär; die Doktrin sagt ja, Freifunk ist ein lokales (Funk-) Netz, welches verschiedene Dienste anbietet — von denen einer ebendieser hochgefährliche Zugang zum öffentlichen Internet ist. Der reinen Lehre nach also könnte man einfach die Übergänge ins öffentliche Internet schließen – »schließt die Gates!!1!11!« – und die Handelnden dort das Internet in Europa endgültig töten lassen — man hat ja auch im ortsübergreifend verbundenen Freifunk-Netz lokale Dienste …

Ja, stimmt schon, geschrieben kommt Sarkasmus nicht so richtig ‘rüber.

Also ernsthaft, welche Auswirkungen hat das EuGH-Urteil auf Freifunk? Das ist schwer zu sagen, denn das Urteil ist alles andere als klar, wie die Digitale Gesellschaft sehr schön zusammenfaßt:

Nach dem Motto „Weil nicht sein kann, was nicht sein darf“ hält der Gerichtshof eine Passwortsicherung also deshalb für zumutbar, weil er die beiden anderen vom vorlegenden Gericht angeführten Maßnahmen (Abschalten des Zugangs, Überwachung des Datenverkehrs) zwar als unzulässig erachtet, zugleich aber verlangt, dass es irgendeinen wirksamen Schutz gegen Urheberrechtsverletzungen im Internet geben muss. Ob es andere wirksame Schutzmechanismen geben könnte oder ob eine Passwortsicherung mit Identitätsfeststellung überhaupt praktikabel ist, erörtert der EuGH hingegen nicht.

Klar ist, daß Freifunker Datenerhebungen bezüglich des Verkehrs ebenso ablehnen wie Identifizierungsprozeduren vor der WLAN-Nutzung. Klar ist aber auch, daß das Gros der Clients – bzw. deren Nutzer – an Freifunk-Zugangsknoten sich für interne Freifunk-Dienste nicht interessiert, in der Regel von ihnen auch nichts weiß — man möchte ins Internet, und das so bequem und zuverlässig wie möglich.

Nur registrierten Endgeräten Zugang zum Internet zu gewähren, ist technisch gesehen Kinderkram. Naja, ok, ob das bei Zehntausend registrierten Geräten noch immer Kinderkram ist, wird sich zeigen — aber prinzipiell ist das easy. Aber, wie gesagt, ohne lokale Vorratsdatenspeicherung (oder »Verkehrsprotokollierung« oder »Anti-Mißbrauchs-Datenaufzeichnung« oder wie man das auch immer schönreden will) gibt es hinterher kein Mapping zwischen externer IP und internem Endgerät. Ob das aber noch eine zumutbare Maßnahme darstellt? Randnummer 87 der Entscheidung führt aus:

Was erstens die Überprüfung sämtlicher übermittelter Informationen angeht, so scheidet eine solche Maßnahme von vornherein deshalb aus, weil sie Art. 15 Abs. 1 der Richtlinie 2000/31 zuwiderläuft, wonach Anbietern, die Zugang zu einem Kommunikationsnetz vermitteln, keine allgemeine Verpflichtung zur Überwachung der von ihnen übermittelten Informationen auferlegt werden darf.

»Überprüft« werden darf die Kommunikation nicht; aber dürfen die Parameter (Quellsocket, Zielsocket, Zeitstempel, Datenmenge), z. B. in Form von »flows«, gespeichert werden, auch wenn dazu sonst keinerlei Notwendigkeit besteht? Und falls ja, wie lange dürfen, wie lange müssen diese Daten aufbewahrt werden?

Es wird sicher ein paar Wochen dauern, bis man abschätzen kann, welchen Schaden der EuGH mit diesem Urteil angerichtet hat und auch, ob die deutsche Politik willens und fähig ist, schnell und präzise per Gesetz diesen zu minimieren. Dann wird sich auch zeigen, inwiefern Freifunk betroffen ist …

Das EuGH-Urteil wirft jedenfalls mehr Fragen auf, als es beantwortet; vielleicht mag es aus juristischer Sicht handwerklich in Ordnung sein — aus meiner, technischen, Sicht ist es totales Blech :(

2 thoughts on “Nun haben wir den Salat

  1. “Wobei, das ging ja nicht, er wurde ja gefragt; insofern ist das eher ein Fall für »hätte ich mal lieber nicht gefragt«,”

    Dieser Vorwurf ginge dann an den – m.W. – Piraten, der geklagt hat. :)

    “denn der Spruch aus Luxemburg, nunja, der ist, gelinde gesagt, … Kacke.”

    Finde ich nicht – er ist eine Möglichkeit, die widerstreitenden Interessen der Beteiligten gegeneinander in Abwägung zu bringen. Gerne werden nämlich in der Argumentation neben dem Nutzer des WLANs und dessen Anbieter die übrigen potentiell Beteiligten vergessen, nämlich die, deren Rechte verletzt werden. Faktisch geht es dabei in den Rechtsstreitigkeiten vor allem um das Urheberrecht, viel wichtiger sind mir persönlich aber Persönlichkeitsrechtsverletzungen, die leider einen (noch) viel schwächeren Stand haben.

    Wer “freies WLAN” fordert, hat m.E. eine Bringschuld, darzulegen, wie er denn deren Interessen gewahrt haben will. Bisher sehe ich dafür nur zwei Möglichkeiten: eine Mithaftung des WLAN-Anbieters, denn nur dann hat er ein Interesse daran, sich zu dieser Frage Gedanken zu machen und sich nicht nur schulterzuckend auf “ist mir doch egal, was meine Nutzer machen, das geht mich nichts an und darf mich auch nichts angehen” zurückzuziehen – oder die jedenfalls potentielle Identifizierbarkeit des Nutzers, die nicht narrensicher sein muss, aber das Entdeckungsrisiko so weit erhöht, dass die Rechtsverstöße nicht überhand nehmen.

    Es mag weitere Möglichkeiten geben, die – ohne die potentiell Geschädigten von Rechtsverletzungen faktisch völlig rechtlos zu stellen – auch den Interessen der Nutzer und Anbieter weiter entgegenkommen. Wenn es solche Möglichkeiten gibt oder man sie auf technischer Ebene schaffen kann: nur zu! Es “Kacke” zu finden, dass Politik und Rechtsprechung auch das Missbrauchspotential freier WLANs sehen (und da geht es mir jetzt noch gar nicht um Kinderpornographie und Terrorismus, die Totschlagargumente jeder netzpolitischen Diskussion), reicht nicht aus.

    Ich bin im übrigen der Auffassung, dass die – durchaus unbefriedigende – Rechtslage zu keinem geringen Teil daraus resultiert, dass sich bei den (potentiellen) Anbietern und (potentiellen) Nutzern freier WLANs wie auch den Netzaktivisten gefühlt schlicht niemand für das Missbrauchsproblem interessiert, sondern sich auf die Forderung beschränkt, es dürfe weder eine Haftung des Anbieters noch eine Identifizierung des Nutzers geben, und die Quadratur des Kreises dürfe dann gerne jemand anderes übernehmen, was geht’s mich an? Sich dann darüber zu mokieren, dass die Rechtslage diese Haltung umgekehrt zurückgibt (“Der erste Verstoß aus eurem WLAN bleibt ohne Konsequenz, ihr müsst dann “nur” eine Wiederholung des Verstoßes verhindern, wie, dürft ihr frei entscheiden …”), ist m.E. zu kurz gegriffen.

    Gerade wer sich technischer Expertise und Netzerfahrung rühmt, wäre aufgerufen, dort nicht stehenzubleiben, sondern eine Lösung zu suchen, die allen drei Interessen – keine Haftung des Anbieters, keine Identifizierbarkeit des Nutzers, Möglichkeit zur Unterbindung / Minimierung von Rechtsverletzungen – einen angemessenen Platz einräumt, und nicht nur einem oder zwei der drei. Und wenn die Rechtsprechung “totales Blech” produziert, wäre das doch der Aufruf an die Techniker, es besser zu machen. :) “Ist scheiße, sehe ich gar nicht ein, _mir_ ist egal, was über ein freies WLAN passiert, weil ich persönlich von Urheberrecht eh nix halte und Beleidigungen und Nazipropaganda für weniger wichtig als volle Anonymität erachte, daher sehe ich mich nicht in der Pflicht, dafür eine Lösung zu finden” führt eben mit hoher Wahrscheinlichkeit zu solchen Entscheidungen wie dieser.

    PS: Man könnte bspw. – frei fabuliert – daran denken, einen zentralen Authentifzierungsdienst einzurichten, den jeder Anbieter von freien WLANs über eine API abfragen kann. Das löst das Problem für die Anbieter, Nutzer identifizierbar zu machen, und ermöglicht einen Zugriff auf den Nutzer, ermöglicht also das Abstellen von Rechtsverletzungen. Um auch dem Interesse des Nutzers an fehlender Identifizierbarkeit gerecht zu werden, bedürfte es einer sicheren Pseudonymisierung, die es bspw. einerseits ermöglicht, die Kennung bei Missbrauch zu sperren, aber trotzdem eine Identifizierung auszuschließen; so etwas in der Art müsste doch auch eine Problemstellung für Onlineabstimmungen und -wahlen sein, so dass es dazu bereits Überlegungen geben sollte. Bei einer solchen Lösung fällt zwar die Strafverfolgung (Terrorismus!) hinten runter, aber es wären immerhin viele Probleme weit besser als derzeit gelöst.

    PPS: Ich halte den Grundgedanken dieser und vergleichbarer Entscheidungen übrigens gar nicht für verkehrt. Warum sollte nicht der, der ein freies WLAN anbieten soll und derjenige, der es nutzen möchte, sich darum kümmern müssen, wie das unter möglichst geringer Beeinträchtigung anderer funktioniert? Das verlangen wir sonst ja nicht selten auch.

  2. Pingback: EuGH und so … | blogdoch reloaded

Comments are closed.