Page 1
1IT-Sicherheit als unfairer Wettbewerb?
Rechtsprobleme von Blocklists & Co.
Dennis Jlussi
Heise-Forum CeBIT, 2. März 2010
Das IRI
• Seit 1983 – das erste seiner Art
• Rechtsgebiete/-themen (unvollständig): IT-Verträge, IT-Sicherheit, Datenschutz,
eCommerce, Urheberrecht und Open Source, Geodaten, Gesundheitsdaten,
Patentrecht, Telekommunikationsrecht…
• 2 Lehrstühle, rund 40 Mitarbeiter
• 10 enge europäische Partnerschaften
• Bologna, Glasgow, Leuven, London, Namur, Oslo, Rovaniemi, Stockholm, Wien,
Zaragoza
• Lehre
• Schwerpunkt (Examensstudium), EULISP (int. Master/LL.M.), In Situ (int.
Summer School), GR.I.T. (Fortbildung).
Demnächst: int. Bachelor-Studiengang
• Forschung
• Ständig mehrere Drittmittelprojekte mit DFG sowie öffentlichen und privaten
Auftraggebern
Page 2
2Über mich
• Seit 2007 am IRI
• Schwerpunkte:
• IT-Sicherheitsrecht
• Telekommunikations-Datenschutzrecht
• eCommerce- / Fernabsatzrecht
• EICAR Legal Advisory Board
• Forschung zu Cybercrime Convention / § 202c StGB
(„Hackerparagraf“) für Volkswagen AG (CISO)
• Das heutige Thema ist „work in progress“
• Blocklists & Co – was ist gemeint?
Page 3
3DNS Blackhole Lists (DNSBL)
• Empfangender Mailserver prüft anhand einer DNS-Abfrage, ob
der absendende Mailserver für Spam bekannt ist
• oder es sich um eine IP handelt, von der eigentlich keine Mails
direkt kommen dürften (z.B. dynamische IP-Ranges).
• z.B. NiX Spam (ix.dnsbl.manitu.net)
„Als attackierend gemeldete“ Websites
• StopBadware-Datenbank
• Basiert vor allem auf Google-Suchergebnissen / -analysen
• Integriert in Google, Firefox...
Page 4
4Anti-Virus-Software
• Virus von Corel? Auf einem fabrikneuen Lenovo-Notebook?
Blocklists & Co – was ist gemeint?
• DNS-Blocklists (Anti-Spam)
• Inhaltsbezogene Anti-Spam-Filter (z.B. Askimet)
• Website-Blocklists (Anti-Malware)
• Anti-Virus-Software
• …?
• Allgemeine Definition?
Page 5
5Personenverhältnisse (Beispiel: Anti-Virus-Software)
BenutzerHersteller
AV
Vertrag
verhindert
Ausführung
Vertrag
Leistung
Personenverhältnisse (Beispiel: Spam-Filter)
BenutzerAnbieter
ProviderDNSBL
Information
liefert nicht aus
oder
markiert als Spam
Vertrag
Werbung
(geschäftliche Handlung)
Page 6
6Definition
• (Meine) allgemeine Definition:
• Ein technischer Filter, der aus Gründen der IT-Sicherheit eine
geschäftliche Handlung eines Unternehmens behindert.
• Sind solche Filter verboten?
Page 7
7Rechtsprechung
• Was sagen die Gerichte?
• LG Lüneburg
• 7 O 80/07, Urteil vom 27.09.‘07 (MMR 2008, 61f., m. Anm. Heidrich)
• Ein (kleinerer) E-Mail-Provider hatte die IP-Adresse des Mailservers
eines MLM-Unternehmens (manuell) auf die Blacklist gesetzt, nachdem
der Inhaber persönlich von dort Spam-Mails erhalten hatte.
• „[Den Unterlassungsanspruch gegen Spam] kann der Mitbewerber zwar
grds. geltend machen, jedoch nicht, indem er eine Zugangssperre bzgl.
des gesamten Mailservers einrichtet.“
• „[Es muss] jedem Kontoinhaber selbst überlassen bleiben, welche E-
Mailadressen er auf eine Spamlist setzt.“
• „Die Sperre eines Mailservers kommt einer Betriebsblockade gleich“
Was ist „unfairer Wettbewerb“
• Betriebsblockade?
•Was ist „unfairer Wettbewerb“?
Page 8
8Wettbewerbsrecht
• Marktverhaltensregeln
• Grundannahme: Fairer Wettbewerb erzielt Wohlfahrtsgewinn
• Schützt
• Andere Unternehmen
• Wettbewerber (horizontal)
• (z.T.) Zulieferer und Abnehmer (vertikal)
• (z.T. / „neu“) Verbraucher
• Abgrenzung: Zunächst einmal nicht
• Verpflichtungen, die nur im Interesse der Allgemeinheit bestehen.
• Insb. Strafrecht, öffentliches Recht
• aber: auch solche Vorschriften können z.T. wettbewerbsschützend sein
Wettbewerbsrecht: UWG
• UWG (Gesetz gegen unlauteren Wettbewerb)
• „Unlautere geschäftliche Handlungen sind unzulässig […].“
(§ 3 Abs. 1)
„Unlauter handelt insbesondere, wer Mitbewerber gezielt
behindert“ (§ 4 Nr. 10)
„[oder] einer gesetzlichen Vorschrift zuwiderhandelt, die auch
dazu bestimmt ist, im Interesse der Marktteilnehmer das
Marktverhalten zu regeln.“ (§ 4 Nr. 11)
Page 9
9Wettbewerbsrecht: GWB
• GWB (Gesetz gegen Wettbewerbsbeschränkungen)
• Eigentlich Kartellrecht (regelt in erster Linie Marktstruktur und
nicht Marktverhalten)
• „Unternehmen mit gegenüber kleinen und mittleren
Wettbewerbern überlegener Marktmacht dürfen ihre
Marktmacht nicht dazu ausnutzen, solche Wettbewerber
unmittelbar oder mittelbar unbillig zu behindern.“ (§ 20 Abs. 4)
• Unternehmen […] dürfen nicht ein anderes Unternehmen […] in
der Absicht, bestimmte Unternehmen unbillig zu
beeinträchtigen, zu Liefersperren oder Bezugssperren
auffordern.“ (§ 21 Abs. 1)
Wettbewerbsrecht: „Betriebsblockade“
• „Recht am eingerichteten und ausgeübten Gewerbebetrieb“
• Absolutes (eigentumsähnliches) Recht i.S.d. § 823 Abs. 1 BGB
• § 823 Abs. 1 ist der deliktsrechtliche Schadensersatzanspruch;
(drohende) Eingriffe in die dort geschützten absoluten Rechte
begründen grds. auch einen Unterlassungsanspruch analog § 1004 BGB.
• Von der Rechtsprechung als „Auffangrecht“ entwickelt
(„Betriebsblockade“ insb. von Arbeitsgerichten bei Blockaden
im Arbeitskampf)
• Voraussetzungen (insb.)
• Betriebsbezogenheit (muss sich auf den Betrieb als solchen und nicht
ein isolierbares Rechtsgut beziehen)
• Güter- und Interessenabwägung
Page 10
10
• Im Einzelnen: Was geht – und was geht nicht?
Was ist problematisch?
• Problematisch sind nur positives
• (Bei marktbeherrschender Stellung evtl. auch false negatives)
• false positives
• Einordung als gefährlich/unerwünscht erfolgt zu Unrecht
• true positives
• Einordnung erfolgt zu Recht
• Aber (zur Erinnerung):
„[Den Unterlassungsanspruch gegen Spam] kann der Mitbewerber zwar
grds. geltend machen, jedoch nicht, indem er eine Zugangssperre bzgl.
des gesamten Mailservers einrichtet.“ (LG Lüneburg)
Page 11
11
Zustimmung des Benutzers
• Die Verhinderung einer gewerblichen Leistung gegen (auch:
ohne) den Willen des Benutzers ist regelmäßig unzulässig.
• Grund: § 4 Nr. 11 UWG
• „Unlauter handelt insbesondere, einer gesetzlichen Vorschrift
zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der
Marktteilnehmer das Marktverhalten zu regeln.“
• Spam-Filter sind z.B. ein Eingriff in das Fernmeldegeheimnis.
• Zustimmung des Benutzers stets ausreichend?
• Wohl ja, wenn der Benutzer damit die konkrete Sperre veranlasst.
• Aber:
Zur Erinnerung: Beteiligte Personen (z.B.) beim Spam-Filter
RezipientAnbieter
ProviderDNSBL
Information
liefert
nicht
aus
Vertrag
Werbung
(geschäftliche Handlung)
Page 12
12
Zustimmung des Benutzers
• Zustimmung des Benutzers stets ausreichend?
• Wohl ja, wenn der Benutzer die konkrete Sperre veranlasst hat.
• Aber: Die Auswahl der zu blockierenden Informationen obliegt (i.d.R.)
gerade dem Anbieter.
• Darin liegt u.U. gerade dessen Leistung.
• � Wenn der IT-Sicherheits-Anbieter die Blockliste pflegt, ist
die (allgemeine) Zustimmung des Benutzers (i.d.R.) notwendig,
aber nicht hinreichend für eine rechtliche Zulässigkeit.
• Weitere Kriterien:
GWB
• Unternehmen […] dürfen nicht ein anderes Unternehmen […] in
der Absicht, bestimmte Unternehmen unbillig zu
beeinträchtigen, zu Liefersperren oder Bezugssperren
auffordern.“ (§ 21 Abs. 1 GWB)
• Absicht: vorsätzlich
• bei AV false positives sehr fraglich
• Unbillig � Interessenabwägung
Page 13
13
UWG
• „Unlauter handelt insbesondere, wer Mitbewerber gezielt
behindert“ (§ 4 Nr. 10 UWG)
• Gezielt � Dient nicht primär der eigenen wettbewerblichen
Entfaltung, sondern der Behinderung der Entfaltung des
anderen
• Maßstab für Unlauterkeit? „Eine Geschäftspraxis ist unlauter,
wenn sie den Erfordernissen der beruflichen Sorgfaltspflicht
widerspricht […].“
(Art. 5 Abs. 2 UGP-Richtlinie)
Kriterien
• (Allgemeine) Zustimmung des Benutzers
• Interessenabwägung
• Interesse an funktionierenden IT-Systemen ist rechtlich geschützt (z.B.
BDSG, StGB), ebenso Schutz vor Belästigungen (z.B. GG).
• Kriterien für die Auswahl der blockierten Informationen sowie (ggf.) die
Meldung an den Benutzer müssen angemessen sein.
• Berufliche Sorgfalt (z.B.)
• Sorgfältige Auswahl der Kriterien
• Sorgfältige Auswahl von Informationsquellen (Whitelists?)
• Sorgfältige (d.h., regelmäßige) Aktualisierung
• false positives Meldesystem
Page 14
14
Behandlung von false positives
• ix.dnsbl.manitu.net
• www.spamcannibal.org
• “If you have been referred to this site because you appear to be blocked
by some third party, speak to the administrators of the third party site
you are trying to contact.”
Fazit
• (Allgemeine) Zustimmung des Benutzers ist erforderlich.
• Interessenabwägung erfordert angemessene Kriterien und
angemessene Reaktion.
• Sorgfaltspflichten sollten beachtet werden.
Page 15
15
Vielen Dank
• Fragen, Anregungen?
• jlussi@iri.uni-hannover.de
http://creativecommons.org/licenses/by-nd/3.0/de/
