Dipl.-Inform. Carsten Eilers

In der sog. Paperboy-Entscheidung vom 17. Juli 2003 (Pressemitteilung, Urteil des I. Zivilsenats vom 17.7.2003 - I ZR 259/00) hatte der BGH das Setzen von Deep Links grundsätzlich erlaubt:

"UrhG § 16 Abs. 1
a) Wird ein Hyperlink zu einer Datei auf einer fremden Webseite mit einem urheberrechtlich geschützten Werk gesetzt, wird dadurch nicht in das Vervielfältigungsrecht an diesem Werk eingegriffen.
b) Ein Berechtigter, der ein urheberrechtlich geschütztes Werk ohne technische Schutzmaßnahmen im Internet öffentlich zugänglich macht, ermöglicht dadurch bereits selbst die Nutzungen, die ein Abrufender vornehmen kann. Es wird deshalb grundsätzlich kein urheberrechtlicher Störungszustand geschaffen, wenn der Zugang zu dem Werk durch das Setzen von Hyperlinks (auch in der Form von Deep-Links) erleichtert wird."
[Hervorhebung von mir]

Man beachte die Einschränkung "ohne technische Schutzmaßnahmen". Aus der Pressemitteilung erfährt man, dass Schutzmaßnahmen nicht beurteilt wurden:

"Ob das Setzen eines Hyperlinks in der Form eines Deep-Links urheberrechtlich unzulässig sei, wenn der Linksetzende dazu technische Sperren umgehe, könne offenbleiben, weil die Klägerin nicht dargelegt habe, daß sie technische Schutzmaßnahmen gegen den unmittelbaren Zugriff auf "tieferliegende" Webseiten ihrer Internetauftritte anwende."

Diese Frage wurde nun geklärt und dabei festgestellt, dass das Umgehen einer Schutzmaßnahme unzulässig ist:

"UrhG § 19a; ZPO § 538 Abs. 2 Satz 1 Nr. 1
a) Bedient sich ein Berechtigter einer technischen Schutzmaßnahme, um den öffentlichen Zugang zu einem geschützten Werk nur auf dem Weg über die Startseite seiner Website zu eröffnen, greift das Setzen eines Hyperlink, der unter Umgehung dieser Schutzmaßnahme einen unmittelbaren Zugriff auf das geschützte Werk ermöglicht, in das Recht der öffentlichen Zugänglichmachung des Werkes aus § 19a UrhG ein. Bei der technischen Schutzmaßnahme muss es sich nicht um eine wirksame technische Schutzmaßnahme im Sinne des § 95a UrhG handeln. Es reicht aus, dass die Schutzmaßnahme den Willen des Berechtigten erkennbar macht, den öffentlichen Zugang zu dem geschützten Werk nur auf dem vorgesehenen Weg zu ermöglichen. "
[Hervorhebung von mir]

Das ist zum größten Teil verständlich. Wer nicht möchte, dass seine Seiten ohne Bezahlung zugänglich sind, kann sie hinter einer wie auch immer gearteten Paywall verstecken (und sich wundern, warum sie keiner mehr liest, aber das ist ein anderes und vor allem nur sein eigenes Problem). Wer die Paywall umgeht, "stiehlt" den Text und muss ebenso wie z.B. ein Zeitungsdieb bestraft werden. Was im Real Life gilt, gilt natürlich auch im Internet.

Schutz ist Schutz, Wirksamkeit hin oder her

Problematisch wird es, wenn man nicht erkennen kann, was erlaubt und was verboten ist. Und dazu führt die gewählte Formulierung im Urteil. Denn die Schutzmaßnahme muss nicht mal technisch wirksam "im Sinne des § 95a UrhG" sein. Es soll reichen, wenn der Wille des Berechtigten erkennbar ist. Das lässt einen gefährlichen Interpretationsspielraum offen, aber dazu komme ich gleich. Erst mal gibt es einen Blick auf § 95a UrhG:

"§ 95a Schutz technischer Maßnahmen
(1) Wirksame technische Maßnahmen zum Schutz eines nach diesem Gesetz geschützten Werkes oder eines anderen nach diesem Gesetz geschützten Schutzgegenstandes dürfen ohne Zustimmung des Rechtsinhabers nicht umgangen werden, soweit dem Handelnden bekannt ist oder den Umständen nach bekannt sein muss, dass die Umgehung erfolgt, um den Zugang zu einem solchen Werk oder Schutzgegenstand oder deren Nutzung zu ermöglichen.
..."

Logic error on line 1

§ 95a UrhG enthält meiner Ansicht nach einen schwerwiegenden Fehler: "Wirksame technische Schutzmaßnahmen dürfen nicht umgangen werden" mag für einen Juristen toll klingen, für mich als Informatiker ist der Satz ein Widerspruch in sich. Entweder, eine Schutzmaßnahme ist wirksam, dann kann sie gar nicht umgangen werden und der § erübrigt sich. Oder sie kann umgangen werden, dann ist sie eben nicht wirksam, also auch nicht geschützt, der § erübrigt sich also ebenfalls.

Juristen und IT - zwei Welten treffen aufeinander. Aber Kopierschutz ist ja bekanntlich eigentlich ein Kapierschutz, und inzwischen beginnt man ja sogar in der Musikindustrie ganz, ganz langsam zu merken, dass man Kunden mit Digital Restriction Management vergrault und nicht anlockt. Anderswo wird der Lernprozess sicher auch irgendwann einsetzen. Vermutlich eher später als früher, aber irgendwann sind die Manager aus der digitalen Steinzeit ja in Rente und ihre mit dem Internet aufgewachsenen Nachfolger dürfen die Trümmer beseitigen, die ihre Vorgänger hinterlassen haben. Wenn es soweit ist, werden wir es schnell merken. Daran, dass die Lobbyisten anfangen, gegen das aktuelle Urheberrecht zu wettern. Nicht weil es zu lax ist, sondern weil es viel zu streng ist.

Was für eine Schutzmaßnahme war es denn?

Aber ich schweife ab, zurück zum aktuellen BGH-Urteil. Dem zu Folge reicht auch eine unwirksame technische Schutzmaßnahme aus. Es reicht, wenn der Wille des Berechtigten erkennbar ist. Diese Aussage gefällt mir gar nicht. Betrachten wir erst mal die "technische Schutzmaßnahme" im verhandelten Fall. Über die ist wenig bekannt, im Urteil steht dazu nur wenig:

"Tatbestand:
1 Die Klägerin bietet auf ihrer Internetseite elektronische Stadtpläne für alle Städte und Gemeinden Deutschlands zum Abruf an. [...] Privaten Nutzern stellt die Klägerin ihren Dienst grundsätzlich kostenfrei zur Verfügung. Für eine kommerzielle oder dauerhafte Nutzung verlangt sie seit dem 1. Januar 2003 Lizenzgebühren. Seitdem ist der Zugang zu den Kartenausschnitten nur bei Verwendung einer sogenannten Session-ID möglich, die bei einem Aufruf der Startseite erteilt wird und zeitlich befristet gilt.
2 Die Beklagte ist ein Wohnungsunternehmen. Sie bot Nutzern ihrer Website im Jahr 2003 die Möglichkeit, zu einer dort angebotenen Mietwohnung über einen Hyperlink einen entsprechenden Kartenausschnitt von der Internetseite der Klägerin abzurufen. Hierfür verwendete sie eine programmtechnische Routine, die unter Umgehung der Startseite der Klägerin unmittelbar zur Webseite mit dem Kartenausschnitt führte."

Etwas weiter unten gibt es dann ein paar weitere Informationen über die Session-ID und die Umgehung der Schutzmaßnahme. Ob das nur eine allgemein formulierte Erklärung ist oder den konkreten Fall betrifft, ist nicht ersichtlich, ich gehe aber von letzterem aus.

"9 Für die Frage der Wirksamkeit einer Schutzmaßnahme sei auf den Kenntnis- und Erfahrungshorizont der Nutzer abzustellen, gegen die sich der Schutzmechanismus richte. Dies seien hier Personen, die eine eigene Webseite unterhielten und Dritten den Aufruf der Kartenausschnitte unter Umgehung der Startseite der Klägerin ermöglichen wollten. Da diese Personen über eine eigene Website verfügten, seien sie in der Webprogrammierung erfahren oder bedienten sich hierzu erfahrener Personen. Gegenüber diesen Nutzern sei die Schutzmaßnahme der Klägerin offensichtlich unzureichend, weil problemlos überwindbar. Auch für einen wenig erfahrenen Internetnutzer sei auf den ersten Blick erkennbar, dass die URL-Zeile des Browsers bei der Abfrage eines Kartenausschnitts aus einer Session-ID und den zuvor in das Suchformular eingegebenen Angaben zu Postleitzahl, Ort, Straße und Hausnummer bestehe. Da die Klägerin dem Interessenten bei jedem Aufruf ihrer Internetseite die zugeteilte Session-ID in der URL-Zeile des Browsers übermittle, habe zur Überwindung des Schutzes nur eine programmtechnisch anspruchslose Routine gestaltet werden müssen, die die übrigen Daten in die URL-Zeile des Browsers eingetragen habe."

und noch weiter unten

"32 Mit seiner Feststellung, auch der Mietinteressent der Beklagten „gehe“ (wenngleich verdeckt) über die Startseite der Klägerin, um eine gültige Session-ID zu erhalten, hat das Berufungsgericht - entgegen der Ansicht der Revisionserwiderung - ersichtlich nicht gemeint, dass die Beklagte den Zugriff auf die Karten der Klägerin nur auf dem von dieser vorgesehenen Weg über die Startseite ihrer Homepage ermöglicht. Die Klägerin wollte durch den Einsatz von Session-IDs erreichen, dass Nutzer zunächst ihre Startseite aufsuchen und zur Kenntnis nehmen müssen, bevor sie die gewünschten Kartenausschnitte aufrufen können. Nur auf diese Weise konnte sie das nach den Feststellungen des Berufungsgerichts von ihr verfolgte Ziel erreichen, die kommerziellen Nutzer dazu zu veranlassen, sich den Vorteil eines unmittelbaren Zugriffs auf die Kartenausschnitte durch den Abschluss von Lizenzverträgen zu erkaufen und die Attraktivität der Startseite für die Platzierung von Bannerwerbung zu erhöhen."

Die Schlussfolgerung "Session-ID vorhanden => Zugriffsbeschränkung" halte ich für sehr gewagt. Eigentlich sagt die ID nur aus, dass die Webanwendung sich den aktuellen Zustand merkt. Wieso, weshalb, warum verrät sie nicht. Aber immerhin lässt sich aus der Aussage auf das Umgehen der Schutzmaßnahme schließen.

Ich vermute, ein Skript auf dem Server des Wohnungsunternehmens hat die Startseite der Website des Stadtplananbieters aufgerufen und die dabei erhaltene Session-ID dann in den Deep Link für die eigenen Besucher integriert. In sofern handelt es sich also nicht um einen normalen Deep Link, sondern um einen vermutlich bei jedem Aufruf dynamisch erzeugten. Das ist in gewisser Weise mit Session Hijacking vergleichbar. Das hätte der Stadtplananbieter auch einfach technisch verhindern können, statt jammernd zum Onkel Richter zu laufen.

Nun weiß ich nicht, wie die Website des Stadtplananbieters aussieht bzw. zum betreffenden Zeitpunkt aussah, und ob es da einen Hinweis auf das Verbot von Deep Links gab. Aber wenn man erst ein Skript schreiben muss, um einen Deep Link setzen zu können, sollte das Indiz genug dafür sein, dass das nicht erwünscht ist. Wer es dann doch macht, begibt sich zumindest auf Glatteis. Entsprechend ist das Wohnungsunternehmen ja auch ausgerutscht. Ob das Eis auch noch dünn ist, werden wir irgendwann in Zukunft erfahren, wenn das endgültige Urteil gefällt wurde. Aber wer absichtlich eine Schutzmaßnahme umgeht, um keine Lizenzgebühren zahlen zu müssen, dürfte kaum ungeschoren davon kommen. Und das zu Recht. Dass das Urteil das Verlinken gefährlicher macht, ist ein äußerst unangenehmer Nebeneffekt, denn...

Wann ist ein Deep Link erlaubt?

Bisher waren Deep Links generell erlaubt. Ich persönlich stehe ja sowieso auf dem Standpunkt "Alles, was man nicht durch einfaches Eingeben eines konstanten Links verlinken kann, soll/will nicht verlinkt werden". Ob das wie im aktuellen Fall mit Absicht geschieht oder weil der Websitebetreiber seine Website ungeschickt programmiert hat, ist mir egal. Wer nicht will, der hat schon. Wer meint, im Internet ohne Links auf seine Website Erfolg zu haben, kann das gerne versuchen. In den meisten Fällen dürfte die Website schnell verschwinden, und dann wäre ein Link dorthin sowieso überflüssig, man tut sich also selbst einen Gefallen, wenn man von Anfang an drauf verzichtet. Prinzipiell hätte man aber auch auf solche Seiten verlinken können, sofern das technisch machbar ist.

"Was nicht verboten ist, ist erlaubt" - Aber was ist verboten?

Das BGH-Urteil ändert diese Situation gewaltig. Da eine unwirksame Schutzmaßnahme ausreicht, um Deep Links zu verbieten, und es nur auf den erkennbaren Willen des Betreibers ankommt, müsste man vor dem Setzen eines Deep Links in Zukunft also genau prüfen, ob es da evtl. eine unwirksame Schutzmaßnahme gibt, die man ja vielleicht gar nicht bemerkt. Aber das reicht noch nicht aus: Wenn auch eine unwirksame Schutzmaßnahme ausreicht, reicht dann vielleicht auch ein Hinweis auf das Deep-Link-Verbot im Impressum, einer Seite mit AGB oder sonstwo aus? Immerhin bedeutet eine unwirksame Schutzmaßnahme ja, dass die Zugangshürde so niedrig ist, dass sie auf dem Boden aufliegt - und dann reicht ja vielleicht auch ein Strich auf dem Boden aus?

Und was ist, wenn ein Betreiber seine Meinung ändert, die vorher erwünschten Deep Links nun für unerwünscht erklärt und eine absichtlich unwirksame Schutzmaßnahme implementiert? Kann er dann für alle bisher gesetzten Deep Links abkassieren? Es gibt ggf. sicher genug am Hungertuch leidende Abmahnanwälte, die daraus ein gewinnbringendes Geschäftsmodell entwickeln würden.

Ach ja: Wie sieht es denn in Zukunft mit mehrseitigen Texten aus? Darf man da gezielt auf eine Unterseite oder auch die Druckversion mit dem Gesamttext verlinken, oder sind nur noch Links auf die erste Textseite erlaubt?

Im Grunde wirft das BGH-Urteil mehr Fragen auf, als es beantwortet. Da dürften noch ein paar klärende Urteile fällig sein.

Zu schwarz gesehen?

OK, ich habe jetzt mit Absicht mal besonders schwarz gesehen. Aber wenn Justiz und Internet aufeinander treffen, kommt halt oft nichts Gutes dabei raus. Es kann sein, dass das Urteil keine weiteren Auswirkungen hat. Dass man keine Schutzmaßnahmen umgehen darf, um Leistungen zu erschleichen, ist eigentlich selbstverständlich und gilt natürlich auch im Internet. Wer es dann so dreist wie im verhandelten Fall tut, darf sich über die Konsequenzen nicht wundern. Man hätte ja auch eine Lizenz kaufen und legal verlinken dürfen. Wenn man das Geld lieber spart, kann es am Ende teuer werden. Dass das doch etwas schwammige Urteil zu möglichen Unsicherheiten führt, ist höflich ausgedrückt äußerst ärgerlich. Besser wäre eine Regelung gewesen, die in Zukunft deutlich erkennbare Schutzmaßnahmen verlangt. Wirksame zu verlangen, wäre Unsinn, siehe oben. Ich hoffe, dass das Urteil zu einer Folgerung wie "Alles, was sich durch Eingeben eines konstanten Links erreichen lässt, darf als Deep Link verlinkt werden" führt, und das Verbot erst greift, wenn zusätzliche Schritte nötig sind.

Wer keine Links will, bekommt halt keine

Wenn in Zukunft schon die geringsten Hinweise auf unerwünschte Deep Links zu deren Verbot führen sollen und womöglich viele Betreiber auf diesen Zug aufspringen, wäre das sehr kontraproduktiv. Auch und gerade für die, auf die verlinkt werden soll. Entweder, ich kann einen direkten Link setzen, oder ich lasse es ganz. Eine Anleitung wie "Gehen Sie auf diese Seite, klicken Sie dort auf dieses und dann auf jenes, dann finden Sie ..." werde ich bestimmt nicht verwenden, und so dürfte es den meisten anderen Website-Betreibern ebenfalls geben. Fazit: Ohne Deep Link gibt es oft gar keinen Link. Wer keinen Traffic will, bekommt halt keinen.

Aber was ist mit den Websites, die Deep Links wünschen? Muss man im Gegenzug in Zukunft sicherheitshalber auf erwünschte Deep Links hinweisen? Sicherheitshalber also hier der Hinweis: Deep Links auf diesen und alle anderen frei zugänglichen Texte auf meinen Websites sind natürlich erwünscht. Ansonsten hätte ich sie ja nicht offen ins Internet gestellt.

Was mach die Session-ID überhaupt im Link?

Ein letztes Wort zur Session-ID: Was hat die überhaupt in gesetzten Links zu suchen? Da könnte man ja fast einen Session-Fixation-Angriff vermuten. Wenn ich Links setze, entferne ich eine evtl. vorhandene Session-ID grundsätzlich. Hauptsächlich, um den Link zu anonymisieren, meine Identität hat darin ja nichts zu suchen. Als Nebeneffekt fallen dann auch Seiten raus, die man nicht ohne Session-ID verlinken kann: Wenn der Link ohne Session-ID nicht funktioniert, gibt es eben keinen. Wieso er nicht funktioniert, ist mir dann ehrlich gesagt vollkommen egal.

Carsten Eilers