Digital Rights Management (DRM) dient ja dem Schutz des Urheberrechts digitaler Medien und Dateien. Es hilft Unternehmen, den Zugriff und die Nutzung ihrer digitalen Bestände zu kontrollieren, was im Zeitalter der sozialen Medien und des weitverbreiteten Dateiaustauschs unerlässlich ist. Durch DRM werden z.B. unerlaubte Kopien verhindert oder die Anzahl der Geräte, auf denen das Werk gleichzeitig installiert werden kann, wird einschränkt. Viele Hersteller von E-Books, Software oder Musikdateien kontrollieren dazu ja bei einer Verbindung die Lizenznummer oder vergleichen eine Rechner-Kennung, z.B. die GUID eines Mac-PC.
§25 TTDSG erlaubt aber nun den Zugriff auf Informationen in der Endeinrichtung nur noch nach Einwilligung und “Berechtigte Interessen” werden nicht mehr als Ausnahmereglung genannt. Ich frage mich nun, ob im Rahmen des DRM es überhaupt noch erlaubt ist, dass eine Lizenznummer ausgelesen wird oder auch eine GUID oder ein PC-Name, um festzustellen, ob eine gültige Lizenz genutzt wird. Müsste dann zukünftig dazu extra informiert und eine Einwilligung eingeholt werden, z.B. auch durch Microsoft, wenn MS den Produktschlüssel ausliest?
Wer eine Lizenz kauft, der schließt in der Regel einen Vertrag ab. Ich hätte also die Überprüfung eher im Sinne dieses Vertrages gesehen. Im Rahmen des Vertrags darf nach Art. 6 Abs. 1 b) DSGVO doch eine Verarbeitung personenbezogener Daten stattfinden.
Außerdem, wenn du dir Absatz 2 Nr. 2 im § 25 TTDSG anschaust: Da steht ja ganz klar drin, dass der Zugrif erlaubt ist, wenn er “unbedingt erfoderlich ist, damit der Anbieter […][den] gewünschten Telemediendienst zur Verfügung stellen kann.” 
Es ist doch erforderlich, dass diese Dinge abgeprüft werden, um z.B. das eBook bereitzustellen, oder?
Was Urheberrecht angeht, kann ich dir aber leider nicht weiterhelfen. Schon möglich, dass es hier ebenfalls eine Rechtsgrundlage gibt. Da gibt es vielleicht den ein oder anderen schlaueren User hier im Forum. 
Hmm, die Ausnahme in §25 Abs.2 Nr.2 TTDSG schränkt auf den “vom Nutzer ausdrücklich gewünschten Telemediendienst” ein. Selbst wenn man das E-Book während des Downloads als Telemedium einstufen könnte, ist es kein “Fernmedium” mehr, sobald es auf dem lokalen Endgerät liegt. Auch wünsche ich nicht, beim Lesen registriert zu werden. Ein lokal installiertes Betriebssystem stufe ich ebenso wenig als Telemedium ein. Insofern würde ich hier eher auf die DSGVO zurückgreifen.
Schon mal Danke für die Antworten. Klar wird mir die Sache aber dennoch nicht. Wenn eine Software beispielsweise beim Start die installierte Version abfragt um dann “Es liegt ein Update vor” mitteilen zu können, muss ein Auslesen der installierten Version vom Endgerät stattfinden. TTDSG lässt dafür doch nur die Einwilligung zu, welche Rechtsgrundlage kann dann angeführt werden? Die beiden Ausnahmen in §25 Abs. 2 TTDSG passen wohl nicht.
Ich bin mir ziemlich sicher, dass die Software-Hersteller so etwas in ihren Lizenzverträgen eingebaut haben.
Schau einfach mal bei einem beliebigen Anbieter nach, bestimmt wird das Kapitel irgendwas wie “Bereitstellung der Daten”, “Nutzungsrechte” oder “Gewährung der Funktionalität” heißen. Da wird dann beschrieben, dass der Nutzer dem Software-Hersteller erlaubt gewisse Daten abzugreifen, um den Dienst zu optimieren, den Schutz zu gewährleisten oder um die Funktionalität der Software beizubehalten bzw. um regelmäßige Updates durchführen zu können. Damit bist du wieder beim Vertrag und somit bei der DSGVO.
Der Datenschutzaspekt beim DRM ist in der Tat eine spannende Frage.
§ 25 TTDSG ist aber nicht darauf anwendbar.
Bereits der Anwendungsbereich des TTDSG (§ 1) ist in Bezug auf DRM nicht eröffnet, da es sich hierbei weder um Telekommunikation noch um Telemedien handelt.
Darüber hinaus ist auch § 25 TTDSG direkt nicht anwendbar, denn DRM ist keine “Endeinrichtung”.
Was darunter zu verstehen ist, definiert § 2 Abs. 2 Nr. 6 TTDSG: „Endeinrichtung [ist] jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten".
Und können die Abfragen des DRM ist diesem Sinne eine „Nachricht“ sein? Nach § 2 Abs. 2 Nr. 4 TTDSG ist dies “jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen Telekommunikationsdienst ausgetauscht oder weitergeleitet wird; davon ausgenommen sind Informationen, die als Teil eines Rundfunkdienstes über ein öffentliches Telekommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Nutzer, der sie erhält, in Verbindung gebracht werden können”.
Hier würde ich aussteigen und behaupten, dass die DRM-Daten nicht personenbezogen sind, der Nutzer also nicht identifizierbar ist, es sich also nicht um eine “Nachricht” im Sinne des TTDSG handelt. Andernfalls scheitert man daran, dass die Nachrichten nicht über einen “Telekommunikationsdienst” ausgetauscht oder weitergeleitet werden. Was dies wiederum ist, definiert § 3 Nr. 24 TKG. Spoiler: DRM ist es nicht.
Ich denke, man muss schauen, ob und in welchem Fall das TTDSG angewandt werden kann. Allerdings komme ich nicht zum selben Schluss wie @daimos.
Für die Anwendung des TTDSG ist die Erbringung eines Telemediendienstes erforderlich. Ein solcher Dienst hält eigene oder fremde Telemedien bereit oder vermittelt den Zugang (§2 TMG). Voraussetzung für die Anwendung ist also das Angebot eines Telemediums. Eine lokal installierte Software ist kein Telemedium, denn sie ist lokal und nicht fern vorhanden. Hier würde ich die Anwendung ausschließen. Ein online angebotenes Update dürfte hingegen unter den Begriff des Telemediums fallen. Was eine Anwendung des TTDSG befürwortete.
Mit dem TTDSG soll die E-Privacy-Richtline umgesetzt werden (2002/58/EG, 2009/136/EG, siehe BT-Drs. 19/27441). §25 ist lt. Gesetzesbegründung die Umsetzung des Art.5 Abs.3 2002/58/EG (im Gesetzentwurf noch §24, im geleakten Referentenentwurf §9). Art.5 Abs.3 2002/58/EG:
(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32009L0136
Dies wurde fast wortwörtlich übernommen. Im Referentenentwurf waren “Ausführung sicherheitsrelevanter Funktionen und Software-Updates” noch als Beispiele für einen nicht einwilligungspflichtigen Zugriff genannt. Dieser Hinweis fehlt im Gesetzentwurf, findet sich aber in ähnlicher Form in Erwägungsgrund 66 der Richtlinie 2009/136/EG:
(66) Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen…
(Zur Entstehungsgeschichte siehe Erwägungsgründe 24, 25 2002/58/EG, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32002L0058)
Zunächst ist die Begründung in sich widersprüchlich: Man kann nicht eine größte Wichtigkeit von Informationen feststellen und zwei Sätze später ebendiese Wichtigkeit durch eine Ausnahme absprechen. Entweder ist etwas größtwichtig oder eben nur wichtig. Beides zugleich geht nicht, ansonsten würden wir uns nur noch in Superlativen bewegen.
Erklärenswert scheint mir “Situationen”, in denen eine technische Speicherung oder der Zugriff unverzichtbar sind. Darunter würde ich Software einordnen, die nur online funktioniert (Cloud, Office 365, Online-Spiele uä). Denn von lokaler Software erwarte ich ein lokales Funktionieren.
Nach meiner Ansicht widerspricht diese Formulierung außerdem der DSGVO. Denn auch im Falle einer technischen Speicherung oder eines technischen Zugriffs werden regelmäßig personenbezogene Daten verarbeitet und die DSGVO macht bei den Informationspflichten keine Ausnahme für technische Fälle.
Bei sog. Session-Cookies ist das Bestreben zum Wegfall der Einwilligung durchaus nachvollziehbar. Ich kann dem jedoch nicht bei den zugehörigen Informationen folgen und erst recht nicht bei jeglichen Speicherungen sämtlicher Anwendungen auf dem Gerät des Nutzers. Das wäre nicht nur eine Verarbeitung ohne Wissen des Nutzers. Es führt außerdem zu genau der Situation, die wir bei Windows 10 erleben: Eine lokale Software ermittelt und übermittelt irgendwelche Daten, deren Umfang und Inhalt unbekannt sind; nach dem Bekanntwerden dieser Praxis und ausgiebiger Beschäftigung mit der lokalen Software werden umfangreiche Hinweise von den Aufsichtsbehörden zur Einschränkung der Übermittlung herausgegeben. Das passt nicht zusammen.
Ich fand keine Rechtsprechung des EuGH zum Thema. Die Entscheidungen zu Art.5 2002/58/EG beschäftigen sich mit dem Wesen der Einwilligung, nicht aber mit den Ausnahmen, dem Entgegenstehen der technischen Speicherung oder des Zugangs. Aber das ist mE auch unerheblich. Denn §25 TTDSG lässt zwar die Ausnahme von der Einwilligung zu, aber die DSGVO sieht die Informationspflichten unabhängig davon vor. Das heißt, der Nutzer muss bereits vor(!) der Speicherung - dieser vorgehend erfolgt nämlich die Erhebung - darüber informiert werden, zu welchen Zwecken welche Informationen auf seinem Gerät gespeichert werden.
Die Definition der “Nachricht” wurde aus der Richtlinie 2002/58/EG übernommen. In Erwägungsgrund 15 heißt es dazu:
Eine Nachricht kann alle Informationen über Namen, Nummern oder Adressen einschließen, die der Absender einer Nachricht oder der Nutzer einer Verbindung für die Zwecke der Übermittlung der Nachricht bereitstellt.
Eine “Information” ist keine Software sondern etwas Wissenswertes oder in der Kybernetik / Informatik der “Gehalt einer Nachricht, die aus Zeichen eines Codes zusammengesetzt ist” (vgl. Duden, ähnlich Wahrig). Eine “Nachricht” (§25 Abs.2 Nr.1) ist also kein Softwareupdate sondern allenfalls die Information darüber, welche Version lokal vorhanden ist und dass ein Update zur Verfügung steht. Ein “vom Nutzer ausdrücklich gewünschte[r] Telemediendienst” (§25 Abs.2 Nr.2) muss in irgendeiner Form vom Nutzer zum Ausdruck gebracht werden. Darunter verstehe ich nicht die mit der Installation einer Software automatisch aktivierten Updates oder sonstige dem Nutzer unbekannte oder in der Registry verborgene Konfigurationen. Ein solcher Automatismus ist das Gegenteil eines ausdrücklichen Wunsches.
Nach diesen Überlegungen gelange ich zu diesen Schlussfolgerungen:
Die Softwareabfrage, zB für Updates, kann ohne Einwilligung erfolgen, wenn der Nutzer sowohl Abfrage als auch Update ausdrücklich wünscht (Schutz der Privatsphäre bei Endeinrichtungen TTDSG, Richtlinie 2002/58/EG). Eine Abfrage zum Update ergibt keinen Sinn, wenn das Update nicht erwünscht ist, also muss es für beides gelten. Vermutlich wird mit dem Erwerb eines DRM-geschützten Angebotes (E-Book, Musik, Film) eine Klausel akzeptiert werden müssen, die den Austausch von Informationen “ausdrücklich wünscht”, damit die Anforderungen erfüllt sind (Erwerb = Wunsch).
Auf lokal installierte Software (zB Betriebssystem) kann das TTDSG nicht angewandt werden, da sie den Begriff des Telemediums nicht erfüllt.
Die Information über die Speicherung und den Zugriff auf das Endgerät muss dem Nutzer kenntlich gemacht werden, wenn bei diesem Vorgang personenbezogene Daten verarbeitet werden (Informationspflichten DSGVO, gegensätzlich Richtlinie 2002/58/EG).
Bleibt die Frage nach der Kollision durch den Bestandsschutz der Richtlinie 2002/58/EG in Art.95 DSGVO und evtl. Auswirkungen auf das TTDSG.
In der Gesetzesbegründung zum TMG (BT-Drs. 16/3078) heißt es:
Unter „Telemediendienste“ fallen alle übrigen Informations- und Kommunikationsdienste, die also nicht ausschließlich Telekommunikationsdienste oder Rundfunk sind. Diese erstrecken sich auf einen weiten Bereich von wirtschaftlichen Tätigkeiten, die – sei es über Abruf- oder Verteildienste – elektronisch in Form von Bild-, Text- oder Toninhalten zur Verfügung gestellt werden.
Als Beispiele für Telemedien werden Online-Angebote von Waren/Dienstleistungen mit unmittelbarer Bestellmöglichkeit, Video auf Abruf, Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen und die die kommerzielle Verbreitung von Informationen über Waren-/Dienstleistungsangebote mit elektronischer Post genannt.
Die Endeinrichtung ist der Rechner, das Smartphone, der Kühlschrank, was auch immer angeschlossen ist und sich mit einer Gegenstelle verbindet (siehe Gesetzesbegründung TTDSG). Diese Gegenstelle kann ein Webserver (Online-Angebote), ein Updateserver (S/FTP) oder auch der DRM-Server eines Softwareherstellers sein - irgendetwas, das Inhalte zum Abruf bereitstellt.
Den Anwendungsbereich des TTDSG sehe ich als eröffnet, wenn eine Verbindung zu einer Inhalte anbietenden Gegenstelle aufgebaut wird, eine Kommunikation zwischen Endeinrichtung und Gegenstelle stattfindet - gleichgültig wodurch sie sie initiiert wird. Ich sehe keinen Unterschied zwischen einem ansurfbaren Online-Angebot und sonstigen Servern, die etwas zum Abfragen im Internet zur Verfügung stellen (Textinhalte). Erst recht sehe ich keinen Unterschied, wenn bei Endeinrichtungen Heizkörperthermostate und Küchengeräte genannt werden. Denn bei diesen Geräten besteht die Kommunikation nicht aus menschenlesbaren Textinhalten. Die Nachricht ist für die automatisierte Verarbeitung idR maschinenlesbar. Und das heißt, dass die Kommunikation von Software auf der Endeinrichtung vom TTDSG erfasst wird.
Um die Kontrolle durch DRM zu ermöglichen, wird Software eingesetzt, die auf der Endeinrichtung des Nutzers installiert ist. Bei Adobe Digital Editions musste man sich (samt Rechner?) registrieren, um einen Key für das Öffnen von E-Books/PDFs zu erhalten. Die Kommunikation zwischen Rechner und Adobe fällt nach meiner Ansicht unter das TTDSG, weil Adobe den Key zum Abruf bereitstellt (Textinhalte). Ich denke, das ist ein von K1200Uli gemeintes DRM-Szenario. DRM selbst ist keine Endeinrichtung, aber die Kontrollen finden auf der Endeinrichtung in Verbindung mit einer Abfrage zu einer Inhalte anbietenden Gegenstelle statt. Diese Kontrollen sind personenbezogen, wenn sich registriert werden muss (Nutzungsdaten) und/oder Verkehrsdaten (IP, Gerätekennung usw.) anfallen. Die Nachricht enthält die gespeicherte Information darüber, welcher Key beim Nutzer vorhanden ist. Nachricht und Information selbst sind keine Software, aber sie sind Textinhalte und werden von der DRM-Software auf der Endeinrichtung gespeichert. Und so wird der Zugriff auf die gespeicherten Informationen notwendig, die per Nachricht übermittelt werden.