Zu Beseitigungsansprüchen betreffend SonyBMGs Rootkit-Kopierschutzsoftware

Veröffentlicht am 3. November 2005 von Arne Trautmann | IT-Recht | 15 Kommentare

Law-BlogInzwischen web-bekannt dürfte SonyBMGs selbst geschaffenes PR-Desaster im Zusammenhang mit der „XCP“ Rootkit-Kopierschutzsoftware des Unternehmens sein. Die funktioniert so, dass ein Nutzer, der eine mit der Software geschützte CD oder CD-ROM auf seinem Rechner nutzt, unbemerkt ein kleines Programm installiert bekommt. Das nistet sich tief im Betriebssystem ein und loggt fleißig mit, was der Nutzer so anstellt. Und wenn die Software meint, das, was da getan wird, sei durch die Lizenzbestimmungen nicht mehr gedeckt, blockiert es kurzerhand die betreffende Handlung.

Das Problem: zum einen wird der Nutzer nicht darüber aufgeklärt, was da passiert, und schon gar nicht gefragt. Vor allem aber kann man sich das eingenistete Programm bestens mit Exploits nutzbar machen; die verborgenen Schnittstellen der eingenisteten Software könnten grundsätzlich für alle möglichen Zwecke missbraucht werden. Möglicherweise kann die Software als Ansatzpunkt für einen Hack in die „infizierte“ Maschine verwendet werden.

Der SPON sieht aus all diesen Gründen das Vorgehen SonyBMGs als strafwürdig unter dem Gesichtspunkt des § 303a StGB an, der Datenveränderung. Das ist sozusagen das elektronische Pendant zur Sachbeschädigung.

StGB § 303a Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Das klingt vernünftig. § 303a StGB umfasst auch die „Veränderung“ und „Unterdrückung“ von Daten. Dies dürfte bei der ungewollten Installation des Kopierschutzprogramms in Gestalt der umgangenen / veränderten Betriebssystemroutinen ohne weiteres der Fall sein. Auch im Fall von „echten“ Viren oder Trojanern wird ja eine Haftung nach § 303a StGB unter diesem Gesichtspunkt angenommen, vgl. nur Schneider/Günther, Haftung für Computerviren, CR 1997, 389 ff. Ohne den Sachverhalt nun ganz genau untersucht zu haben (und bitte nehmen Sie diesen Disclaimer ernst): nehmen wir es für unsere Zwecke als gegeben an, dass ein Verstoß gegen § 303a StGB vorliegt.

Dann hat der Betroffene aus diesem Umstand abseits des eher drögen Strafrechts auch sehr spannende zivilrechtliche Ansprüche. Er kann Schadenersatz verlangen, § 823 II BGB i.V. mit § 303a StGB, aber auch Unterlassung bzw. Beseitigung, § 1004 BGB.

Hier kurz die Vorschriften:

BGB § 823 Schadensersatzpflicht
(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

BGB § 1004 Beseitigungs- und Unterlassungsanspruch
(1) Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.

Interessant in einem Fall wie dem Vorliegenden scheint mir der Beseitigungsanspruch. Der richtet sich ohne weiteres gegen den Verantwortlichen oder Störer, hier also SonyBMG. Nun stellt das Unternehmen auf seiner Webseite inzwischen ein Tool bereit, das den ungebetenen Kopierschutz bzw. das behufs dessen Durchführung eingenistete Programm entfernt. Hierzu muss man sich allerdings registrieren und eine ganze Menge Angaben machen, etwa, wo man die betreffende CD gekauft hat, man muss ferner Namen und Anschrift des entsprechenden Ladens angeben. Eine Option wie „ich habe die CD geschenkt bekommen“ o.ä. existiert nicht.

Jedenfalls scheint es mit Hilfe des Tools möglich zu sein, den rechtsverletzenden Zustand meines Rechners zu beseitigen. Ist damit also der Beseitigungsanspruch erfüllt? Kann ich also darauf verwiesen werden, selbst „Hand anzulegen“, mich zu registrieren, das Programm herunterzuladen und ablaufen zu lassen, wiewohl doch verpflichtet dazu eigentlich SonyBMG ist? Muss ich selbst tätig werden?

Anmerkung an dieser Stelle: Bitte verstehen Sie mich nicht falsch: ich bin selbstverständlich nicht der Ansicht, dass Sie erst einmal SonyBMG verklagen und solange die Reinigung Ihres Rechners aus purem Trotz vernachlässigen sollten. Ganz im Gegenteil: reinigen Sie die Maschine so schnell wie möglich. Betrachten Sie meine Erwägungen schlicht als theoretische Überlegungen eines Juristen, der sein Tagewerk für heute erfüllt hat.

Fangen wir mal von vor an: Beseitigung, das ist das Abstellen einer Beeinträchtigung für die Zukunft. Nehmen wir vergleichsweise den Fall, dass jemand auf meinem Grundstück irgendwelche Sachen lagert, gern auch Müll. Hier ist ganz klar: den muss er nach § 1004 BGB entfernen, denn das heißt eben „Abstellen der Beeinträchtigung“, das ist eben die Beseitigung, vgl. Palandt, BGB, § 1004 Rn. 28. Ob ich dabei viel einfacher zur Beseitigung in der Lage wäre, weil die Gegenstände nicht schwer sind, morgen der Sperrmüll kommt und der Störer gerade im Ausland weilt, ist unerheblich.

Am anderen Ende des Spektrums darf ich gegen den Schuldner nur solche Ansprüche stellen, denen er auch nachkommen kann, deren Erfüllung möglich ist, § 275 I BGB.

BGB § 275 Ausschluss der Leistungspflicht
(1) Der Anspruch auf Leistung ist ausgeschlossen, soweit diese für den Schuldner oder für jedermann unmöglich ist.
(2) Der Schuldner kann die Leistung verweigern, soweit diese einen Aufwand erfordert, der unter Beachtung des Inhalts des Schuldverhältnisses und der Gebote von Treu und Glauben in einem groben Missverhältnis zu dem Leistungsinteresse des Gläubigers steht. Bei der Bestimmung der dem Schuldner zuzumutenden Anstrengungen ist auch zu berücksichtigen, ob der Schuldner das Leistungshindernis zu vertreten hat.

Solche Unmöglichkeit liegt hier zunächst einmal nicht vor: SonyBMG kann einen Techniker vorschicken, der den Rechner des Betroffenen entsprechend bearbeitet. Das geht, ist aber natürlich deutlich teurer, als den Kunden das selbst machen zu lassen.

Nun kann „Unmöglichkeit“ auch die so genannte praktische Unmöglichkeit sein, die in § 275 II BGB geregelt ist. Die liegt vor, wenn zwar naturgesetzlich, faktisch und rechtlich eine bestimmte Leistung durchaus möglich ist, der damit verbundene Aufwand aber in offensichtlichem Missverhältnis zum Wert steht (vgl. Palandt § 275 Rn. 22).

Das ist hier aber auch nicht der Fall: wenn mein Rechner Angriffspunkte für Exploits bietet, dann überwiegt der (Geld-)Aufwand für den Servicetechniker gewiss nicht das Interesse des Verletzten an der Beseitigung.

Nun kann man Lösungen weiterhin in den „Wundertüten“ der §§ 226, 242 BGB suchen, also im Schikaneverbot und Treu und Glauben.

BGB § 226 Schikaneverbot
Die Ausübung eines Rechts ist unzulässig, wenn sie nur den Zweck haben kann, einem anderen Schaden zuzufügen.

BGB § 242 Leistung nach Treu und Glauben
Der Schuldner ist verpflichtet, die Leistung so zu bewirken, wie Treu und Glauben mit Rücksicht auf die Verkehrssitte es erfordern.

Hier kommt wohl vor allem die Fallgruppe der „Unverhältnismäßigkeit“ in Betracht. Die meint aber vor allem solche Fälle, in denen das Verhältnis von Rechtsverletzung zum Aufwand derer Beseitigung ungut ist (hier nicht der Fall, s.o.) nicht aber Fälle, in denen der Nutzer vielleicht selbst einfacher die Störung beseitigen kann. Denn bei denen ist das Verhältnis des Aufwandes von „Selbstbeseitigung“ gegen „Fremdbeseitigung“ betroffen.

Hinzu kommt: warum eigentlich sollte der Nutzer selbst Hand anlegen? Er ist im Zweifel kein IT-Experte. Er kann nicht prüfen, ob das SonyBMGs Tool wirklich die Schadprogramme entfernte. Vielleicht hat der Nutzer gar keinen Internetzugang, es fällt ihm also schwer, das Programm zu besorgen. Und zuletzt: warum eigentlich sollte ein Weltkonzern seine Verantwortung so einfach auf die Nutzer auslagern können, die ja ohnehin schon den Schaden haben?

Letztlich bleibt nach meiner zugegebenermaßen noch nicht bis zu Ende durchdachten Analyse: m.E. können Kopierschutzgeschädigte Beseitigungsansprüche gegen SonyBMG geltend machen. Die Verfügbarkeit des Removal-Tools ändert daran nichts.

15 Gedanken zu "Zu Beseitigungsansprüchen betreffend SonyBMGs Rootkit-Kopierschutzsoftware"

Verstehe ich das richtig, dass man SonyBMG eine Rechnung für die eigene Arbeit schicken könnte, wenn man den Missstand mit dem bereitgestellten Tool selbst beseitigt oder von einem Experten beseitigen lässt?

[…] Arne contra Sony: Letztlich bleibt nach meiner zugegebenermaßen noch nicht bis zu Ende durchdachten Analyse: m.E. können Kopierschutzgeschädigte Beseitigungsansprüche gegen SonyBMG geltend machen. Die Verfügbarkeit des Removal-Tools ändert daran nichts. weitere Artikel zu: , drm, kopierschutz, Pressemitteilungen, sony   […]

SonyBMG „XCP“ Rootkit-Kopierschutzsoftware rechtswidrig?

Scheinbar wird durch den Kopierschutz ein kleines Programm auf der Festplatte des Nutzers ohne sein Wissen installiert, das erstens nicht rechtmässig dort ist und zum anderen wohl fast in Richtung Trojaner geht, da es Schnittstellen schafft, die durch…

@kein Name: nein, eher nicht. Der Beseitigungsanspruch besteht ggf. gegen den Schuldner. Bedenken Sie bitte auch: das hier sind ganz allgemeine Erwägungen, über einen konkreten Fall können (und dürfen!) wir hier nicht Stellung nehmen.

Von einem Haftungsübergang an den Händler, der die Sony-CDs verkauft, kann aber ja vermutlich keine Rede sein. Damit dürfte dieser Artikel sehr an der Grenze des theoretischen vorbeischrappen. 🙂

Nach allem was ich bisher über den Fall gelesen habe, ist es nicht so, daß die Software an sich unbemerkt installiert wird. Es geht sehr wohl ein Fenster auf, das die Installation eines Players (!) ankündigt. Von einer DRM-Software wird aber nirgends gesprochen. Es wäre auch interessant die EULA des Players mal genauer zu analysieren.

@Axel – wird die DRM-Software auch installiert, wenn man die Installation des Players verweigert?

Hallo Herr Eble,

hm, das wäre an sich kein großer Unterschied. M.E. kann dann in der Eula stehen was will: eine Klausel, die mir in der Eula (die ja AGB ist) eine Rootkit-Software unterjubeln will, wäre (ganz!) sicher nach 305c BGB unwirksam, unter Geltung deutschen Rechts betrachtet natürlich.

Wenn Sie allerdings die Eula zufällig da hätten, wäre deren Lekture sicher interessant…

Hallo Frau Schümann,

der Händler haftet eher nicht nach den genannten Vorschriften, ggf. habe ich aber die ganz normalen Gewährleistungsansprüche. Da tobt ja schon sein längerem eine Diskussion, wann CDs, die nicht Red-Book kompatibel sind als „mangelhaft“ angesehen werden kann, womit ich Nacherfüllung verlangen kann bzw. letztlich – da die mangelfrei i.d.R. nicht geliefert werden – vom Vertrag zurücktreten kann.

Auf was ich eigentlich hinauswollte: die Installation eines Players ist ja an sich recht harmlos, daher werden da wohl einige Kunden zustimmen. Wenn dabei aber nicht der DRM-Schutz erwähnt wird (mitsamt seinen weitreichenden Beeinflussungen des Betriebssystems), dann sollte das auf jeden Fall auch strafrechtliche Konsequenzen haben.

Ich habe die EULA leider nicht da, sie sollte sich aber eigentlich im Netz finden lassen (z.B. bei Mark Russinovichs sysinternals).

@Markus: sorry, da bin ich überfragt. Ich vermute aber, daß nicht – schließlich kannst du dir ohne installierten Player die Musik nicht anhören. Die ganze Chose ist jedenfalls ein weiterer Punkt für das Abschalten von AutoRun und/oder der Benutzung eines alternativen Betriebssystems. Ich hatte jedenfalls mit meinen Macs nur einmal ein Problem mit einer kopiergeschützten CD – und das war auch vorbei als das Software-Update dem DVD-Brenner eine neue Firmware verpaßt hatte.

Hier ist übrigens die EULA.

aber nie koennte ich rein in der Seite gehen, so habe ich nie von dem sogenanten Service profitiert. Dann erfuhr ich, dass diese Seite: http://www.nimimit.de ein Betrug ist. Dann musste ich naturlich zahlen obwohl ich kein Service bekam. Dann SEID IHR VORSICHTIG UND BESUCHT NICHT DIESE SEITE!!, WEIL ES EIN BETRUG IST UND NIEMAND ES IN DEUTSCHLAND KONTRILLIERT.
So war mein schlechtes Erfahrung in Deutschland
Gruess
http://www.meine-fahrgemeinschaft.de/

Musterbrief gegen nimimit…

Nocheinmal etwas zum Thema nimimit.de und Internetabzocke:Ich habe von unserem Leser Frank freundlicherweise einen Zeitungsartikel bekommen, in dem es um eine Anwaltsklage gegegen Internet Abzocke geht. Den Artikel könnt ihr euch hier ansehen.Den Must…

[…] Law-Blog vom Rechtsanwalt Arne Trautmann: Zu Beseitigungsansprüchen betreffend SonyBMGs Rootkit… […]