Zu Beseitigungsansprüchen betreffend SonyBMGs Rootkit-Kopierschutzsoftware

BEITRAG TEILEN

Inzwis­chen web-bekan­nt dürfte SonyB­MGs selb­st geschaf­fenes PR-Desaster im Zusam­men­hang mit der „XCP“ Rootk­it-Kopier­schutz­soft­ware des Unternehmens sein. Die funk­tion­iert so, dass ein Nutzer, der eine mit der Soft­ware geschützte CD oder CD-ROM auf seinem Rech­n­er nutzt, unbe­merkt ein kleines Pro­gramm instal­liert bekommt. Das nis­tet sich tief im Betrieb­ssys­tem ein und log­gt fleißig mit, was der Nutzer so anstellt. Und wenn die Soft­ware meint, das, was da getan wird, sei durch die Lizenzbes­tim­mungen nicht mehr gedeckt, block­iert es kurz­er­hand die betr­e­f­fende Hand­lung.

Das Prob­lem: zum einen wird der Nutzer nicht darüber aufgek­lärt, was da passiert, und schon gar nicht gefragt. Vor allem aber kann man sich das ein­genis­tete Pro­gramm bestens mit Exploits nutzbar machen; die ver­bor­ge­nen Schnittstellen der ein­genis­teten Soft­ware kön­nten grund­sät­zlich für alle möglichen Zwecke miss­braucht wer­den. Möglicher­weise kann die Soft­ware als Ansatzpunkt für einen Hack in die “infizierte” Mas­chine ver­wen­det wer­den.

Der SPON sieht aus all diesen Grün­den das Vorge­hen SonyB­MGs als strafwürdig unter dem Gesicht­spunkt des § 303a StGB an, der Daten­verän­derung. Das ist sozusagen das elek­tro­n­is­che Pen­dant zur Sachbeschädi­gung.

StGB § 303a Daten­verän­derung
(1) Wer rechtswidrig Dat­en (§ 202a Abs. 2) löscht, unter­drückt, unbrauch­bar macht oder verän­dert, wird mit Frei­heitsstrafe bis zu zwei Jahren oder mit Geld­strafe bestraft.

Das klingt vernün­ftig. § 303a StGB umfasst auch die „Verän­derung“ und „Unter­drück­ung“ von Dat­en. Dies dürfte bei der unge­woll­ten Instal­la­tion des Kopier­schutzpro­gramms in Gestalt der umgan­genen / verän­derten Betrieb­ssys­tem­rou­ti­nen ohne weit­eres der Fall sein. Auch im Fall von „echt­en“ Viren oder Tro­jan­ern wird ja eine Haf­tung nach § 303a StGB unter diesem Gesicht­spunkt angenom­men, vgl. nur Schneider/Günther, Haf­tung für Com­put­er­viren, CR 1997, 389 ff. Ohne den Sachver­halt nun ganz genau unter­sucht zu haben (und bitte nehmen Sie diesen Dis­claimer ernst): nehmen wir es für unsere Zwecke als gegeben an, dass ein Ver­stoß gegen § 303a StGB vor­liegt.

Dann hat der Betrof­fene aus diesem Umstand abseits des eher drö­gen Strafrechts auch sehr span­nende zivil­rechtliche Ansprüche. Er kann Schaden­er­satz ver­lan­gen, § 823 II BGB i.V. mit § 303a StGB, aber auch Unter­las­sung bzw. Besei­t­i­gung, § 1004 BGB.

Hier kurz die Vorschriften:

BGB § 823 Schadenser­satzpflicht
(1) Wer vorsät­zlich oder fahrläs­sig das Leben, den Kör­p­er, die Gesund­heit, die Frei­heit, das Eigen­tum oder ein son­stiges Recht eines anderen wider­rechtlich ver­let­zt, ist dem anderen zum Ersatz des daraus entste­hen­den Schadens verpflichtet.
(2) Die gle­iche Verpflich­tung trifft den­jeni­gen, welch­er gegen ein den Schutz eines anderen bezweck­endes Gesetz ver­stößt. Ist nach dem Inhalt des Geset­zes ein Ver­stoß gegen dieses auch ohne Ver­schulden möglich, so tritt die Ersatzpflicht nur im Falle des Ver­schuldens ein.

BGB § 1004 Besei­t­i­gungs- und Unter­las­sungsanspruch
(1) Wird das Eigen­tum in ander­er Weise als durch Entziehung oder Voren­thal­tung des Besitzes beein­trächtigt, so kann der Eigen­tümer von dem Stör­er die Besei­t­i­gung der Beein­träch­ti­gung ver­lan­gen. Sind weit­ere Beein­träch­ti­gun­gen zu besor­gen, so kann der Eigen­tümer auf Unter­las­sung kla­gen.

Inter­es­sant in einem Fall wie dem Vor­liegen­den scheint mir der Besei­t­i­gungsanspruch. Der richtet sich ohne weit­eres gegen den Ver­ant­wortlichen oder Stör­er, hier also SonyB­MG. Nun stellt das Unternehmen auf sein­er Web­seite inzwis­chen ein Tool bere­it, das den unge­bete­nen Kopier­schutz bzw. das behufs dessen Durch­führung ein­genis­tete Pro­gramm ent­fer­nt. Hierzu muss man sich allerd­ings reg­istri­eren und eine ganze Menge Angaben machen, etwa, wo man die betr­e­f­fende CD gekauft hat, man muss fern­er Namen und Anschrift des entsprechen­den Ladens angeben. Eine Option wie „ich habe die CD geschenkt bekom­men“ o.ä. existiert nicht.

Jeden­falls scheint es mit Hil­fe des Tools möglich zu sein, den rechtsver­let­zen­den Zus­tand meines Rech­n­ers zu beseit­i­gen. Ist damit also der Besei­t­i­gungsanspruch erfüllt? Kann ich also darauf ver­wiesen wer­den, selb­st „Hand anzule­gen“, mich zu reg­istri­eren, das Pro­gramm herun­terzu­laden und ablaufen zu lassen, wiewohl doch verpflichtet dazu eigentlich SonyB­MG ist? Muss ich selb­st tätig wer­den?

Fan­gen wir mal von vor an: Besei­t­i­gung, das ist das Abstellen ein­er Beein­träch­ti­gung für die Zukun­ft. Nehmen wir ver­gle­ich­sweise den Fall, dass jemand auf meinem Grund­stück irgendwelche Sachen lagert, gern auch Müll. Hier ist ganz klar: den muss er nach § 1004 BGB ent­fer­nen, denn das heißt eben „Abstellen der Beein­träch­ti­gung“, das ist eben die Besei­t­i­gung, vgl. Palandt, BGB, § 1004 Rn. 28. Ob ich dabei viel ein­fach­er zur Besei­t­i­gung in der Lage wäre, weil die Gegen­stände nicht schw­er sind, mor­gen der Sper­rmüll kommt und der Stör­er ger­ade im Aus­land weilt, ist uner­he­blich.

Am anderen Ende des Spek­trums darf ich gegen den Schuld­ner nur solche Ansprüche stellen, denen er auch nachkom­men kann, deren Erfül­lung möglich ist, § 275 I BGB.

BGB § 275 Auss­chluss der Leis­tungspflicht
(1) Der Anspruch auf Leis­tung ist aus­geschlossen, soweit diese für den Schuld­ner oder für jed­er­mann unmöglich ist.
(2) Der Schuld­ner kann die Leis­tung ver­weigern, soweit diese einen Aufwand erfordert, der unter Beach­tung des Inhalts des Schuld­ver­hält­niss­es und der Gebote von Treu und Glauben in einem groben Missver­hält­nis zu dem Leis­tungsin­ter­esse des Gläu­bigers ste­ht. Bei der Bes­tim­mung der dem Schuld­ner zuzu­mu­ten­den Anstren­gun­gen ist auch zu berück­sichti­gen, ob der Schuld­ner das Leis­tung­shin­der­nis zu vertreten hat.

Solche Unmöglichkeit liegt hier zunächst ein­mal nicht vor: SonyB­MG kann einen Tech­niker vorschick­en, der den Rech­n­er des Betrof­fe­nen entsprechend bear­beit­et. Das geht, ist aber natür­lich deut­lich teur­er, als den Kun­den das selb­st machen zu lassen.

Nun kann „Unmöglichkeit“ auch die so genan­nte prak­tis­che Unmöglichkeit sein, die in § 275 II BGB geregelt ist. Die liegt vor, wenn zwar naturge­set­zlich, fak­tisch und rechtlich eine bes­timmte Leis­tung dur­chaus möglich ist, der damit ver­bun­dene Aufwand aber in offen­sichtlichem Missver­hält­nis zum Wert ste­ht (vgl. Palandt § 275 Rn. 22).

Das ist hier aber auch nicht der Fall: wenn mein Rech­n­er Angriff­spunk­te für Exploits bietet, dann über­wiegt der (Geld-)Aufwand für den Ser­vicetech­niker gewiss nicht das Inter­esse des Ver­let­zten an der Besei­t­i­gung.

Nun kann man Lösun­gen weit­er­hin in den „Wun­dertüten“ der §§ 226, 242 BGB suchen, also im Schikan­e­ver­bot und Treu und Glauben.

BGB § 226 Schikan­e­ver­bot
Die Ausübung eines Rechts ist unzuläs­sig, wenn sie nur den Zweck haben kann, einem anderen Schaden zuzufü­gen.

BGB § 242 Leis­tung nach Treu und Glauben
Der Schuld­ner ist verpflichtet, die Leis­tung so zu bewirken, wie Treu und Glauben mit Rück­sicht auf die Verkehrssitte es erfordern.

Hier kommt wohl vor allem die Fall­gruppe der „Unver­hält­nis­mäßigkeit“ in Betra­cht. Die meint aber vor allem solche Fälle, in denen das Ver­hält­nis von Rechtsver­let­zung zum Aufwand der­er Besei­t­i­gung ungut ist (hier nicht der Fall, s.o.) nicht aber Fälle, in denen der Nutzer vielle­icht selb­st ein­fach­er die Störung beseit­i­gen kann. Denn bei denen ist das Ver­hält­nis des Aufwan­des von „Selb­st­be­sei­t­i­gung“ gegen „Fremdbe­sei­t­i­gung“ betrof­fen.

Hinzu kommt: warum eigentlich sollte der Nutzer selb­st Hand anle­gen? Er ist im Zweifel kein IT-Experte. Er kann nicht prüfen, ob das SonyB­MGs Tool wirk­lich die Schad­pro­gramme ent­fer­nte. Vielle­icht hat der Nutzer gar keinen Inter­net­zu­gang, es fällt ihm also schw­er, das Pro­gramm zu besor­gen. Und zulet­zt: warum eigentlich sollte ein Weltkonz­ern seine Ver­ant­wor­tung so ein­fach auf die Nutzer aus­lagern kön­nen, die ja ohne­hin schon den Schaden haben?

Let­ztlich bleibt nach mein­er zugegeben­er­maßen noch nicht bis zu Ende durch­dacht­en Analyse: m.E. kön­nen Kopier­schutzgeschädigte Besei­t­i­gungsansprüche gegen SonyB­MG gel­tend machen. Die Ver­füg­barkeit des Removal-Tools ändert daran nichts.

BEITRAG TEILEN