So verfolgen wir Softwarepiraterie

Viele Softwareunternehmen wissen aus eigener Erfahrung, welche Schäden Softwarepiraterie verursacht. Wenn man allerdings nach dem Begriff googelt, findet man erstaunlich wenige gute Informationen darüber, was man aus rechtlicher Sicht dagegen unternehmen kann. Da wir hier in den letzten Jahren einige Erfahrungen gemacht haben, hier eine weitgehend „unjuristische“ Zusammenfassung der wichtigsten Schritte, die man zur Verfolgung von Softwarepiraterie unternehmen kann.

Im vergangenen Jahr entschied das Landgericht Hamburg, dass PayPal (d.h. die Konzernzentrale mit Sitz in Luxemburg) zur Auskunft über Namen und Anschrift eines Nutzers verpflichtet ist. PayPal hatte unter Aufbietung aller ihr zur Verfügung stehenden argumentativen Kräfte versucht, sich gegen diese Auskunft zu wehren. Der Sachverhalt der Entscheidung und die Urteilsgründe zeigen sehr schön, mit welchen praktischen Problemen man es bei der Jagd auf Softwarepiraten und anderen Online-Kriminellen zu tun hat. Als verletztes Unternehmen (und deren Rechtsbeistand) kann man leicht das Gefühl bekommen, die ganze Welt habe sich gegen einen verschworen. Trotzdem kann es sich lohnen, die Mühen der Verfolgung auf sich zu nehmen.

Die Situation: Online-Verbreitung gehackter (Branchen-)Software

Einer unserer Mandanten, den dieses Thema hauptsächlich betrifft, ist ein mittelständisches deutsches IT-Unternehmen. Ein klassischer „Hidden Champion“: Es produziert eine Software, die kleine Unternehmen einer bestimmten Branche beinahe zwingend für ihre Geschäftsabwicklung brauchen. Diese Software kann und muss man in verschiedenen Varianten mieten. Die Software ist allerdings mit gewisser krimineller Energie „hackbar“. Und so tauchen durch Softwarepiraterie immer wieder frei verfügbare Varianten der Software in mehr oder weniger guter Aufbereitung im Netz auf.

Unser Mandant verfolgt diese Fälle von Softwarepiraterie übrigens weniger aus primär kommerziellem Interesse, sondern vorrangig zum Schutz seiner Reputation. Je mehr schlechte Fälschungen der Software im Netz kursieren, umso stärker gefährdet ist sein Ruf als „Premium-Anbieter“.

Nun tauchen also in schöner Regelmäßigkeit solche Raubkopien im Netz auf. Der Mandant macht uns auf das Angebot aufmerksam (manchmal fallen uns auch selbst welche auf, die wir ihm dann proaktiv melden). Wie gehen wir mit dem Fall um?

Schritt 0: Das Impressum

Wenn es nach dem Gesetzgeber ginge, wäre unsere Arbeit gegen Softwarepiraterie leicht. Denn schließlich hat jeder Online-Anbieter, der etwas auf sich hält, ein Impressum nach § 5 TMG. Schade nur, dass sich Softwarepiraten normalerweise nicht an das Gesetz halten. Nach einem Impressum kann man meist lange suchen. Wenn man eines findet, ist es vermutlich gefälscht (so auch im Sachverhalt der „PayPal“-Entscheidung des LG Hamburg).

Schritt 1: Der Testkauf

Bei Softwarepiraterie kommt es selten vor, dass man die Software online bestellen und sich auf einem Datenträger liefern lassen kann. Wir hatten zum Beispiel mal einen Fall, in dem eine Übergabe vor Ort (hier: auf dem Balkan) möglich war. In diesen Fällen inittieren wir Testkäufe. Besonders ergiebig sind diese allerdings normalerweise nicht: Die Täter achten schon darauf, dass der Versandort nicht zu Tage tritt. Die Möglichkeit einer Bestellung hat aus Ermittlungssicht allerdings den Vorteil, dass es zu einem direkten Zahlungsvorgang kommt. Man erhält also als Kunde normalerweise Zahlungsdaten (z.B. ein PayPal-Konto). Dies ist dann der Strohhalm, an den wir uns zu klammern versuchen. Es geht in der Folge direkt weiter nach unten zu Schritt 6.

Schritt 2: Der Domain-Registrar

Die Softwarepiraterie-Angebote sind in der Regel über eine reguläre Domain und nicht bloß über eine reine IP-Adresse abrufbar. Es liegt also nahe, über eine WhoIs-Abfrage beim jeweiligen Registrar an den potenziellen Inhaber der Domain als „Zielperson“ zu gelangen.
In der Praxis funktioniert das allerdings nur bedingt: Einigermaßen professionelle Piraten nutzen „Protected Domain Services“, die gegenüber dem Registrar die Identität des Inhabers verschleiern.
Falls die jeweilige Registrierungsstelle übrigens ein Dispute-Verfahren anbietet, kann dies nur funktionieren, wenn die Domain selbst Namens- oder Kennzeichenrechte des Softwareanbieters verletzt. Es geht in diesen Verfahren also nur um die Domain selbst, nicht um das dahinter stehende Angebot. Gute Softwarepiraten werden sich hüten, sich hier in eine Falle zu begeben.

Schritt 3: Der Host-Provider

Auch der Weg über den Host-Provider (also z.B. der Anbieter eines Webservers, über den das Angebot online abrufbar ist) verspricht bei Softwarepiraterie nach unseren Erfahrungen normalerweise kaum Erfolg. Entweder betreiben die Piraten den Server komplett selbst, oder sie nutzen auch hier einen Dienst, der ihre Identität verschleiert und für Auskunftsersuchen nicht zur Verfügung steht (das wird auf den Websites dieser Anbieter mal mehr, mal weniger deutlich mitgeteilt).
Sie fragen sich, wie sich so ein Anbieter dagegen wehren kann, von Kanzleien wie unserer in Anspruch genommen zu werden? Genau, man legt seinen Geschäftssitz in einen Staat, in dem keine Vollstreckung (z.B. von Gerichtsurteilen) möglich ist oder sie zumindest erheblich schwerer ist als man glaubt.
Worüber man sich außerdem im Klaren sein muss: Wir kennen keinen Host-Provider, der mit Identitätsfeststellung arbeitet – auch nicht in Deutschland. Das heißt, die Chancen, über den Host-Provider an werthaltige Informationen zu kommen, stehen ohnehin nicht besonders gut. Und auch wenn der Host-Provider den Zugang sperrt, gibt es viele, viele andere Anbieter, die für ihn in die Bresche springen.
Wenn also z.B. der Bundesgerichtshof in seiner (umstrittenen) Entscheidung zur Störerhaftung des Access Providers diese Haftung „subsidiär“ unter den Vorbehalt des vorangehenden Vorgehens gegen den Host Provider stellt, muss man diese Pflicht nach unserer Erfahrung für eine unnötige Formalie halten.

Schritt 4: Der Werbedienstleister

Nach unserer Erfahrung handeln Softwarepiraten zumindest in unserer Fallkonstellation nur selten altruistisch. Sie möchten Geld verdienen, und das ist zugleich ihre Achillesferse.
Wer online Geld verdienen möchte, tut dies heutzutage häufig mit Online-Werbung. Der wichtigste Anbieter für diese Online-Werbung ist Google über seinen Dienst AdSense. (Das Pendant Google Ads richtet sich im Gegensatz dazu an Webseitenbetreiber, die bei Google selbst Werbung schalten. Diese Werbung ist dann in der Google-Suchmaschine und ggf. auch bei AdSense-Kunden zu sehen.)
Wer Werbedienste wie AdSense nutzen möchte, muss dort Zahlungsdaten hinterlassen – oder, falls der Dienst Zahlungen per Scheck auszahlt, zumindest eine verifizierte Postanschrift. Deshalb verfügen Werbedienstleister in der Regel über valide Informationen, um Softwarepiraten „greifbar“ zu machen.
Wie gelangt man nun an diese Informationen? Theoretisch auf zwei Wegen:

1. Wir selbst machen (für unsere Mandanten) einen Auskunftsanspruch geltend. Dieser besteht nach deutschem Recht im Falle offensichtlicher Rechtsverletzungen nach § 101 (2) Nr. 3 UrhG (bzw. § 19 (2) Nr. 3 MarkenG bei Markenverletzungen). Leider ist er nur auf Name und Anschrift gerichtet, nicht auf Bankdaten.
2. Wir gehen über zu Schritt 5 und erstatten Strafanzeige. Die Staatsanwaltschaft hat dann die Möglichkeit, beim Werbedienstleister alle dort vorliegenden Nutzerdaten zu erfragen.

Zudem kann man vom Werbedienstleister die Beendigung der Dienstleistungen für den betreffenden Onlinedienst verlangen (sog. „Blacklisting“). Damit schneidet man dem Softwarepiraten einen Weg zum Geld ab. Er kann zwar zu anderen Dienstleistern wechseln, aber spätestens beim nächsten „Blacklisting“ (das kommt bestimmt) verliert er normalerweise das Interesse daran.

Was sich in der Theorie schön liest, ist in der Praxis etwas schwieriger. Schuld daran sind die Werbedienstleister, allen voran Google. Dort zeigt man sich leider nur wenig kooperativ. Hier ein paar Beispiele:

• Wir hatten in einigen Fällen mehrfach das Formular zur Meldung von Rechtsverletzungen durch AdSense-Nutzer ausgefüllt, das von Google aber anscheinend nicht bearbeitet wurde.
• Auf seiner Website stellt Google keine marktüblichen Wege zur Kontaktaufnahme bereit. (Aus meiner Sicht hat Google auch  nach wie vor kein aus deutscher Sicht rechtskonformes Impressum.)
• Was für uns funktioniert hat (wir wussten uns nicht anders zu helfen): Strafanzeige „gegen Unbekannt“ erstatten, in der Strafanzeige ausdrücklich den Verdacht äußern, dass sich Google-Mitarbeiter durch ihre planmäßige Untätigkeit der Beihilfe zur gewerblichen Urheberrechtsverletzung durch Unterlassen schuldig machen. Die Strafanzeige haben wir der Google Germany GmbH in Kopie geschickt. In der Folge nahm die Rechtsabteilung der Google Germany GmbH Kontakt mit uns auf, und Sperranfragen wurden in der Folge prompt bearbeitet.
• Google verweigert allerdings beharrlich die direkte Auskunft über Nutzerdaten gegenüber Geschädigten. Dies geschieht aus unserer Sicht ohne rechtliche Grundlage.
• Uns gegenüber wurde versichert, dass die Google Ireland Ltd als Anbieterin von AdSense in Deutschland gegenüber den Ermittlungsbehörden ohne Weiteres Auskunft über Nutzerdaten erteilt. Dies scheint nicht zu stimmen: In einem unserer Fälle wurde kürzlich die Staatsanwaltschaft München I auf die Google Inc. in den USA verwiesen. Hierzu muss die Staatsanwaltschaft ein Rechtshilfeersuchen in die USA stellen. Das ist recht aufwändig und wird deshalb nicht immer gemacht.

Schritt 5: Die Staatsanwaltschaft

In einigen Fällen haben wir in der Vergangenheit Strafanzeige gestellt – normalerweise „gegen Unbekannt“ in der Hoffnung, dass die Staatsanwaltschaft Ermittlungen aufnimmt und man in der Folge über Akteneinsicht verwertbare Informationen für den zivilen Rechtsweg erhält.

Zumindest in der Theorie empfiehlt es sich immer, in Fällen strafbarer Urheberrechtsverletzungen Strafanzeige zu stellen. Denn die Ermittlungsbehörden haben an sich umfassendere Rechte und Möglichkeiten, IT-Dienstleister um Informationen über ihre Kunden zu ersuchen. So ist z.B. der privatrechtliche Anspruch auf Auskunft nach § 101 (2) UrhG (bzw. § 19 (2) MarkenG bei Markenverletzungen) auf Name und Anschrift des Verletzers beschränkt, während die Ermittlungsbehörden umfassende Auskunft verlangen können. Zudem können oder wollen internationale IT-Unternehmen die privaten Auskunftansprüche nach deutschem Recht häufig nicht nachvollziehen und ihnen Folge leisten. Gegenüber öffentlichen Stellen sind sie manchmal auskunftsfreudiger.

Aus praktischer Sicht sind unsere Erfahrungen mit strafrechtlichen Ermittlungen in „kleineren“ Verletzungsfällen ernüchternd. In der Regel scheint es an allem zu fehlen, insbesondere an Ressourcen, technischem Verständnis und Engagement. Wenn überhaupt etwas passiert, dauert es normalerweise ewig bis zum Beginn der Ermittlungen – dann folgen halbherzige Versuche der Informationsgewinnung. Bei kleineren Widerstand folgt die Einstellungsverfügung schneller als es einem lieb ist. In jedem Fall empfiehlt es sich, in der Strafanzeige genaue Anregungen zu Ermittlungsmaßnahmen zu geben. Hier von den Behörden Eigeninitiative zu erwarten, scheint zuviel verlangt zu sein.

Die Arbeit der Ermittlungsbehörden kann die privatrechtliche Initiative gegenüber den Verletzern also nur ergänzen und nie ersetzen.

Schritt 6: Der Zahlungsdienstleister

Falls man in den Schritten 1 oder 5 an Zahlungsdaten eines potenziellen Täters gelangt (z.B. eine PayPal-Adresse), ist ein Auskunftsanspruch beim Zahlungsdienstleister möglich – so hat es zumindest das LG Hamburg entschieden, s.o. Schon zuvor hatten der EuGH und in der Folge auch der BGH entschieden, dass der private Auskunftsanspruch (hier: nach § 19 (2) MarkenG) auch gegenüber einem Zahlungsdienstleister durchsetzbar ist und dieser sich in der Regel nicht auf das Bankgeheimnis berufen darf.

Trotz der Entscheidung des LG Hamburg wehrt sich PayPal aktuell noch gegen private Auskunftsansprüche und teilt auf seiner Website mit, dass Auskünfte nur gegenüber Ermittlungsbehörden erteilt werden. Ob es in diesen Fällen hilft, unter Hinweis auf die aktuelle Rechtsprechung mit Klage zu drohen – und notfalls auch Klage zu erheben -, probieren wir gerade in einem Fall aus.

PayPal stellt übrigens auch ein formalisiertes Verfahren bereit, den Dienstleister um Beendigung der Geschäftsbeziehung zum Verletzer zu ersuchen. Auch dies kann helfen, dem Täter sein Handeln etwas zu erschweren.

Falls der Zahlungsdienstleister Auskunft erteilt, erhält man in der Regel verifizierte Adressdaten. Liegen diese in Deutschland, ist eine Zivilklage ebenso möglich wie eine Strafanzeige gegen die konkrete Person – also zurück zu Schritt 5. Hat der Kontoinhaber seinen Sitz im (Nicht-EU-)Ausland, ist eine Zivilklage schwer vollstreckbar. Hier kann man darüber nachdenken, mit Unterstützung von Kanzleien im Ausland die dortigen Gerichte und Ermittlungsbehörden zu bemühen.

Schritt 7: Der Suchmaschinenanbieter

Manche Anbieter von Piraterieprodukten listen ihre Angebote in den gängigen Suchmaschinen. Um dies zu verhindern, stellen die Suchmaschinenanbieter Formulare bereit, über die man ein „Blacklisting“ des Angebots erreichen kann. Mit der Bearbeitung dieser Anfragen haben wir gemischte Erfahrungen gemacht. Es lohnt sich in jedem Fall, die Anträge per Screenshot zu dokumentieren.

Schritt 8: Der Telekommunikationsanbieter („Netzsperre“)

Unter einer „Netzsperre“ versteht man technische Maßnahmen eines Telekommunikationsanbieters, die dazu führen, dass deren Kunden eine Website nicht mehr abrufen können. Seit der BGH Ende 2015 einen zivilrechtlichen Anspruch auf Netzsperre grundsätzlich zugelassen hat, wird diese Entscheidung aus netzpolitischer, rechtlicher und technischer Sicht stark kritisiert.

Wir haben bisher noch in keinem Fall das Bedürfnis gehabt, einen Anspruch auf Netzsperre gegenüber einem Telekommunikationsanbieter geltend zu machen. Nach unserem Kenntnisstand wäre die technische Umsetzung für den Anbieter im Einzelfall sehr schwierig und kostspielig. Wir haben auch gehört, dass solche Ansprüche bisher in der Praxis kaum geltend gemacht wurden. Falls man das versucht, ist nach der Entscheidung des BGH wegen des Prinzips der „subsidiären Haftung“ die Darlegungslast ziemlich hoch: Man muss nachweisen, dass man zuvor alle zumutbaren sonstige Schritte gegen den Verletzer unternommen hat und diese nicht erfolgreich waren.

Sonderfall: Der App Store

Softpiraterie im Internet ist auch in Form rechtsverletzender mobiler Apps denkbar. In diesen Fällen kann und muss man sich normalerweise an die Betreiber des jeweiligen App Stores wenden. Für diese Fälle stellt z.B. Apple ein besonderes „Dispute“-Verfahren bereit, das aus unserer Sicht nicht ganz den Anforderungen des deutschen Rechts entspricht. Mehr zu diesem Thema in einem gesonderten Beitrag.

Warum ist die Verfolgung von Softwarepiraterie trotzdem sinnvoll?

Dieser Beitrag mag sich zunächst etwas ernüchternd lesen. Tatsächlich fühlt man sich bei der rechtlichen Verfolgung von Softwarepiraterie ein wenig, als kämpfe man gegen Windmühlen. Die Erfolgsaussichten dieses Kampfes richten sich letztlich stark nach der Cleverness und dem Durchhaltevermögen der Verletzer.

Trotzdem lohnt es sich nach unserer Erfahrung durchaus, den Kampf aufzunehmen – zumal dann, wenn das vorrangige Ziel die Beseitigung der Angebote ist und es weniger um finanzielle Kompensation geht. Die meisten der von uns verfolgten Angebote gaben die Angebote relativ schnell auf, nachdem wir die Verfolgung aufgenommen hatten. Vor allem der Weg über den Werbedienstleister, der das Angebot sprichwörtlich „aushungert“, hat sich als nützlich erwiesen.

Kontaktieren Sie uns, wenn Sie beim Kampf gegen Softwarepiraterie unsere Unterstützung brauchen. Falls dies für Sie ein „Dauerprojekt“ ist, finden wir gemeinsam ein gutes Preismodell.

Redaktionelle Anmerkung: Dieser Artikel wurde erstmals am 27. Januar 2017 veröffentlicht und zuletzt am 7. April 2020 inhaltlich überarbeitet.