Wie ich im Juli schrieb, erhielt OVPN von der Rights Alliance einen Gerichtsbeschluss (RA) auf Anfrage von AB Svensk Filmindustri und Nordisk Film A / S. RA möchte wissen, welchem Benutzer zu einem bestimmten Zeitpunkt eine bestimmte öffentliche IPv4-Adresse zugewiesen wurde. Darüber hinaus möchte RA den Namen, die Adresse, die Zahlungsinformationen sowie wissen, wie lange dieses bestimmte Benutzerkonto ein zahlender Abonnent von OVPN war.
Zur Klarstellung: OVNP kann die angeforderten Informationen nicht bereitstellen, da es keine Protokolle gibt, zu denen dem Kunden in der Vergangenheit eine bestimmte IP-Adresse zugewiesen wurde.
Der Fall ist noch nicht abgeschlossen, da es über den ganzen Sommer hinweg Schriftsätze zwischen den Parteien gab. Eine endgültige Entscheidung des Patent- und Marktgerichts (PMC) sollte im September eingehen. Bisher sind jedoch viele interessante Dinge passiert, die meiner Meinung nach erwähnenswert sind.
Der Antrag auf Sicherheitsmaßnahmen ist für OVPN positiv beschieden worden
Die Rights Alliance hat danach jedoch nicht aufgegeben, sondern weiterhin den Standpunkt vertreten, dass OVPN lügt und wir die angeforderten Informationen haben müssten. Weder PMC noch OVPN dachten wahrscheinlich, dass RA zwei Monate lang dieselbe Linie streiten würde.
Die Rights Alliance erstellt ihre eigenen Beweise
Die Rights Alliance wird "von unabhängigen Beratern geführt", aber es ist Sara Lindbäck, die sie in ihrem Fall gegen OVPN vertritt. In einer der Erklärungen zitiert sie die Pressemitteilung ihres Kollegen Anders Nilsson als Beweis:
Weitere Informationen zur Funktionsweise des VPN-Dienstes und des statischen IPv4-Dienstes sowie zu den Informationen, die verfügbar sein sollten, damit der Dienst ordnungsgemäß funktioniert, finden Sie in der beigefügten Pressemitteilung, Anhang 12, die als Beweis eingefhrt wird.
Wir lehnen es ab, dass die RA einen Text verfasst und behauptt, dies sei ein Beweis. Unser Anwalt Michael hat darauf auf wunderbare Art und Weise geantwortet:
In Bezug auf das als "Beweismittel" bezeichnete Memorandum wird angemerkt, dass es - wie zuvor eingereichte Memoranden - von einem Mitarbeiter der Rights Alliance verfasst wurde, d. h. die Vertreter der Antragsteller. Nach Ansicht von OVPN ist dies eher eine ergänzende Vorlage an die Antragsteller als ein Beweis.
In jedem Fall ist die übermittelte Pressemitteilung in Bezug auf die angeforderten Informationen spekulativ und vage und gibt nur an, dass OVPN "vernünftigerweise" über solche Informationen verfügt, da sein System "wahrscheinlich" auf eine bestimmte Weise funktioniert. Es scheint auch, dass die Person, die das Memorandum verfasst hat, nicht genau weiß, „wie das Zahlungssystem von OVPN funktioniert ...“. Daher fehlt dem Dokument, selbst wenn es als Beweismittel betrachtet wird, in relevanter Hinsicht immer noch der Beweiswert.
Die Rights Alliance fordert weitere Informationen an
Ursprünglich wollte die RA den Namen, die Adresse, die Zahlungsinformationen und wissen, wie lange das Konto bereits ein zahlender Kunde bei uns ist. OVPN fragt unsere Kunden überhaupt nicht nach Name oder Adresse, so dass Informationen wäre für uns unmöglich zu liefern.
Während des Prozesses hat die Rights Alliance ihren Anspruch geändert und möchte nun erheblich davon Weitere Informationen zum Konto - nämlich "alle Informationen, die sie enthalten". Wir haben as Gericht darauf aufmerksam gemacht, dass sie durch diese Bemerkung ihre Zahl erheblich erhöht haben Umfang; er wirft auch Bedenken hinsichtlich der DSGVO auf. Wir bestreiten dies, obwohl wir keine Ahnung haben, über welches Konto sie tatsächlich Informationen wünschen.
Die Rights Alliance versucht, Quittungen als Beweismittel zu verwenden
Unabhängig von Ihrer Meinung zur RA kann man nicht anders, als sich beeindruckt zu fühlen, vor dem Hintergrund ihrer Kreativität und des Versuchs, Rechnungsbelege als Methode zur Identifizierung des Kunden zu verwenden:
Auch wenn die Speicherung nicht nach dem Gesetz über elektronische Kommunikation erfolgt, sind Unternehmen verpflichtet, Rechnungen und Kundeninformationen sowohl nach dem Rechnungslegungsgesetz als auch aus steuerlichen Gründen zu speichern. [...] Aus den oben genannten Gründen muss OVPN Informationen darüber haben, wer den Dienst gekauft hat, welcher Dienst gekauft wurde, was der Dienst kostet und wie lange der Dienst genutzt werden soll.
OVPN ist nicht der einzige VPN-Dienst, der öffentliche IPv4-Adressen anbietet, und ich denke, es besteht eine gute Chance, dass dieser Ansatz bei anderen VPN-Diensten verwendet werden kann, um festzustellen, welchem Kunden anschließend eine bestimmte IP-Adresse zugewiesen wurde. Bei OVPN funktioniert dies jedoch nicht.
Die Rechnungsbelege von OVPN für Public IPv4 geben nicht an, welche IP-Adresse zugewiesen wurde, sondern nur, dass ein bestimmter Kunde für den Dienst bezahlt hat. Die Kunden von OVPN können auch Abonnements für mehrere Jahre gleichzeitig erwerben. Dies ist an sich schon ein Hindernis dafür, theoretisch einen Dienst zu einem bestimmten Zeitpunkt mit einer bestimmten Zahlung verknüpfen zu können. Zusätzlich können Kunden die zugewiesene öffentliche IP-Adresse jederzeit ändern.
Die Tatsache, dass wir, gemäß dem Rechnungslegungsgesetz, verpflichtet sind, Geschäftsereignisse aufzuzeichnen und Belege so zu speichern, dass der Geschäftsverlauf verfolgt werden kann, bedeutet nicht, dass wir auf den Belegen angeben müssen oder sollten, welche IP-Adresse einem Kunden zugewiesen ist. Dies kann damit gleichgesetzt werden, dass McDonald's auf einem Belege angeben muss, von welcher Farm das Fleisch auf dem Hamburger stammt.
Die Rights Alliance stellt einen Sicherheitsspezialisten ein
In der neuesten Erklärung RA behalten sie einen externen Berater, der eine Stellungnahme von RA verfasst hat zitiert erneut als Beweis.
Mein Name ist Jesper Larsson und ich arbeite als Sicherheitsspezialist bei der Firma 0x4A. Mein Schwerpunkt in der IT-Sicherheit liegt in der technischen Infrastruktur, in der ich mit Penetrationstests und als Sicherheitsberater arbeite.
Jesper spekuliert in der Aussage, dass es "als äußerst wahrscheinlich angesehen werden sollte, dass der mit der Konfiguration verknüpfte Benutzer oder die Identität in einer Benutzerdatenbank gespeichert ist ..."
Auch dies bestreiten wir und wiederholen, dass Ihre Annahmen- trotz der angeblich hohen Wahrscheinlichkeit - nicht als selbstverständlich für den eigenen Anspruch von OVPN angesehen werden können. Wir verstehen Jespers Ansatz, aber da er nicht alle Informationen darüber hat, wie OVPN tatsächlich ausgeführt wird, kann er nur Spekulationen anstellen.
Der Sicherheitsspezialist fährt fort und gibt an, dass „der Benutzer sein VPN-Konto so konfiguriert hat, dass es auf die angegebene Domäne verweist. Damit diese Art der Konfiguration möglich ist, müssen Daten über die Konfiguration mindestens während der Zeit, in der das Konto aktiv ist, bei OVPN gespeichert werden.
Zunächst wird eine solche Konfiguration auf DNS-Ebene vom Domäneninhaber und nicht von OVPN vorgenommen. Es sind nämlich die sogenannten "A-Datensätze", die mit dem Domänenanbieter erstellt werden, die bestimmen, wohin eine Domäne zeigt. Eine solche Konfiguration wird auf der Seite von OVPN überhaupt nicht vorgenommen. Es ist unklar, ob der Sicherheitsspezialist nicht versteht, wie DNS funktioniert, aber die Aussage ist einfach nicht wahr.
Der Sicherheitsspezialist ist der Ansicht, dass wir die angeforderten Informationen in unserer Benutzerdatenbank oder in Sicherungen der Benutzerdatenbank abrufen können sollten. Eine Sicherung der Datenbank ist in der Praxis eine Kopie der aktuellen Datenbank zu einem bestimmten Zeitpunkt. Eine solche Sicherung kann dann eine Vorstellung davon geben, welchem Benutzernamen zum Zeitpunkt der Sicherung eine bestimmte öffentliche IPv4-Adresse zugewiesen wurde. Mit OVPN werden Backups für eine begrenzte Zeit gespeichert und dann automatisch gelöscht. Als OVPN die Informationsverfügung und die Anforderung von Sicherheitsmaßnahmen erhielt, war die Sicherung für den von RA angeforderten Zeitraum bereits gelöscht worden.
Zu guter Letzt scheint die Tatsache, dass der Sicherheitsspezialist - drei Tage nach seiner Bemerkung vor dem Patent- und Marktgericht - seine Position in einem Gruppengespräch über Telegramm geändert zu haben scheint. Im Gespräch kommentiert Jesper unser Geschäft. Jesper erklärt zunächst, dass er "der Ansicht ist, dass ovpn mit seinem Ansatz zur Integrität und Privatsphäre eindeutig gute Arbeit geleistet hat".
Anschließend stellt er klar, dass er der Auffassung sei, dass "das Konto mit der statischen Adresse nicht mit einer Unze PII-Daten verknüpft ist, die auf eine Person oder Organisation zurückgeführt werden können".
(Screenshot des Gesprächs auf Schwedisch)
PII ist ein Begriff für personenbezogene Daten über eine Person.
Die Aussage des Sicherheitsspezialisten im Gruppengespräch scheint daher in direktem Widerspruch zu seinen Schlussfolgerungen in der Aussage vor Gericht zu stehen.
Es wird spannend zu sehen sein, was die Rights Alliance jetzt vorbringt, wenn ihr eigener Experte zustimmt, dass OVPN in Bezug auf Integrität und Datenschutz gute Arbeit leistet und nicht glaubt, dass identifizierbare Informationen abgerufen werden können.
Hinweis: Alle Zitate wurden aus dem Schwedischen übersetzt.