News
EuGH: Dynamische IP-Adresssen sind personenbezogene Daten
21.10.2016
Der EuGH hat in der kontroversen Diskussion um die Personenbezogenheit von dynamischen IP-Adressen (wir berichteten) eine Entscheidung getroffen: Mit lang erwartetem Urteil vom 19. Oktober 2016 hat das oberste Gericht der Europäischen Union entschieden, dass auch dynamische IP-Adressen als personenbezogene Daten im Sinne der Richtlinie 95/46 einzustufen sein können. Dies gilt selbst dann, wenn nicht der die IP-Adresse erhebende Webseitenbetreiber sondern nur ein Dritter – in der Regel der Internetzugangsanbieter – über die zu ihrer Identifizierung nötigen Mittel verfügt. Ob diese Daten letztlich gespeichert werden dürfen, soll von einem „berechtigen Interesse“ des Webseitenbetreibers abhängen.
Der BGH hatte im Rahmen dieses Rechtsstreits als Revisionsinstanz zu entscheiden, ob es sich bei dynamischen IP-Adressen überhaupt um „personenbezogene Daten“ handelt, die durch die Datenschutzgesetze besonders geschützt sind. Hieran anschließend stellte sich die Frage, ob eine Verarbeitung personenbezogener Daten nur zu den in § 15 Abs. 1 Telemediengesetz (TMG) genannten Zwecken zulässig ist (Nutzung und Abrechnung von Onlinediensten), oder auch zu anderen darüber hinausgehenden Zwecken. Diese Fragen legte der BGH dem EuGH zur Vorabentscheidung vor.
Dynamische IP-Adressen werden – im Gegensatz zu statischen IP-Adressen – dem Nutzer nur für die Dauer einer Internetverbindung zugewiesen. Bei jeder weiteren Verbindung werden sie erneuert. Aufgrund der Veränderlichkeit lassen sie selbst keine Identifizierung des betreffenden Nutzers zu. Hierzu bedarf es vielmehr der Verknüpfung von der dynamischen IP-Adresse mit weiteren Zusatzinformationen, die sich regelmäßig nur in der Hand des Internetzugangsanbieters befinden. Dessen Mitwirkung ist daher für eine Identifizierung des Nutzers erforderlich.
Nach Ansicht des EuGH steht es der Annahme eines Personenbezugs nicht entgegen, dass die zur Identifizierung des betreffenden Nutzers erforderlichen Informationen auf verschiedene Anbieter verteilt sind. Eine Konzentration dieser Informationen bei einer einzigen datenverarbeitenden Stelle sei nicht erforderlich, so der EuGH. Soweit nur bestimmte Dritte über die erforderlichen Zusatzinformationen zur Herstellung eines Personenbezugs verfügten, sei entscheidend, ob der Webseitenbetreiber über eine effektive Handhabe verfüge, diese Informationen zu erlangen. In Deutschland gebe es für Webseitenbetreiber offenbar zumindest in Sondersituationen (bspw. im Fall von Cyberattacken) die Möglichkeit auf behördlichem Wege eine Herausgabe der fraglichen Informationen vom Internetzugangsanbieter zu erzwingen. Ob eine solche rechtliche Möglichkeit im konkreten Fall tatsächlich besteht, sei im weiteren Verfahren noch vom BGH zu prüfen. Vorbehaltlich dieser Prüfung seien Websitenutzer in Deutschland nicht vor einer (indirekten) Identifizierung durch den Webseitenbetreiber gefeit. Dies reiche aus, um einen Personenbezug auch dynamischer IP-Adressen anzunehmen.
Mit europäischem Recht nicht vereinbar ist nach Ansicht des EuGH eine Vorschrift nationalen Rechts, nach der „ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.“ (Rz. 55)
Nicht unproblematisch ist vor diesem Hintergrund die deutsche Vorschrift des § 15 Abs. 1 TMG. Danach dürfen Webseitenbetreiber personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme der Webseite zu ermöglichen und abzurechnen. Beim Wortlaut genommen, müssen danach IP-Adressen nach Ende des Zugriffs auf die Webseite umgehend gelöscht werden. Dies wäre aber nach Ansicht des EuGH nicht mit Art. 7 lit. f der Richtlinie 95/46 vereinbar. Danach können der Webseitenbetreiber nämlich durchaus ein überwiegendes Interesse an einer über den Nutzungszeitraum hinausgehenden Speicherung der IP-Adresse haben. Erforderlich, so der EuGH, sei stets eine Abwägung im Einzelfall.
Hintergrund
In dem der EuGH-Entscheidung zugrundeliegenden Rechtsstreit geht es um eine Klage des Piratenpartei-Politikers Patrick Breyer. Dieser will erreichen, dass es der Bundesrepublik Deutschland untersagt wird, die dynamischen IP-Adressen von Personen zu speichern, die auf den Webseiten des Bundes surfen. Gegenwärtig ist dies noch der Fall: Der Bund speichert neben dem Zeitpunkt des Zugriffs auf die Webseiten auch die IP-Adresse des Nutzers.Der BGH hatte im Rahmen dieses Rechtsstreits als Revisionsinstanz zu entscheiden, ob es sich bei dynamischen IP-Adressen überhaupt um „personenbezogene Daten“ handelt, die durch die Datenschutzgesetze besonders geschützt sind. Hieran anschließend stellte sich die Frage, ob eine Verarbeitung personenbezogener Daten nur zu den in § 15 Abs. 1 Telemediengesetz (TMG) genannten Zwecken zulässig ist (Nutzung und Abrechnung von Onlinediensten), oder auch zu anderen darüber hinausgehenden Zwecken. Diese Fragen legte der BGH dem EuGH zur Vorabentscheidung vor.
Dynamische IP-Adressen als personenbezogene Daten
Der EuGH entschied nun, dass auch dynamische IP-Adressen für den Webseitenbetreiber personenbezogene Daten darstellen, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand von Zusatzinformationen bestimmen zu lassen, über die regelmäßig dessen Internetzugangsanbieter verfügt.Dynamische IP-Adressen werden – im Gegensatz zu statischen IP-Adressen – dem Nutzer nur für die Dauer einer Internetverbindung zugewiesen. Bei jeder weiteren Verbindung werden sie erneuert. Aufgrund der Veränderlichkeit lassen sie selbst keine Identifizierung des betreffenden Nutzers zu. Hierzu bedarf es vielmehr der Verknüpfung von der dynamischen IP-Adresse mit weiteren Zusatzinformationen, die sich regelmäßig nur in der Hand des Internetzugangsanbieters befinden. Dessen Mitwirkung ist daher für eine Identifizierung des Nutzers erforderlich.
Nach Ansicht des EuGH steht es der Annahme eines Personenbezugs nicht entgegen, dass die zur Identifizierung des betreffenden Nutzers erforderlichen Informationen auf verschiedene Anbieter verteilt sind. Eine Konzentration dieser Informationen bei einer einzigen datenverarbeitenden Stelle sei nicht erforderlich, so der EuGH. Soweit nur bestimmte Dritte über die erforderlichen Zusatzinformationen zur Herstellung eines Personenbezugs verfügten, sei entscheidend, ob der Webseitenbetreiber über eine effektive Handhabe verfüge, diese Informationen zu erlangen. In Deutschland gebe es für Webseitenbetreiber offenbar zumindest in Sondersituationen (bspw. im Fall von Cyberattacken) die Möglichkeit auf behördlichem Wege eine Herausgabe der fraglichen Informationen vom Internetzugangsanbieter zu erzwingen. Ob eine solche rechtliche Möglichkeit im konkreten Fall tatsächlich besteht, sei im weiteren Verfahren noch vom BGH zu prüfen. Vorbehaltlich dieser Prüfung seien Websitenutzer in Deutschland nicht vor einer (indirekten) Identifizierung durch den Webseitenbetreiber gefeit. Dies reiche aus, um einen Personenbezug auch dynamischer IP-Adressen anzunehmen.
Berechtigtes Interesse an Speicherung der dynamischen IP-Adressen
Die Speicherung der folglich personenbezogenen dynamischen IP-Adressen ist nach dem EuGH zulässig, wenn der Webseitenbetreiber ein berechtigtes Interesse hieran hat und legitime Interessen und Grundrechte der Nutzer einer Speicherung nicht überwiegen (vgl. Art. 7 lit. f der Richtlinie 95/46).Mit europäischem Recht nicht vereinbar ist nach Ansicht des EuGH eine Vorschrift nationalen Rechts, nach der „ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.“ (Rz. 55)
Nicht unproblematisch ist vor diesem Hintergrund die deutsche Vorschrift des § 15 Abs. 1 TMG. Danach dürfen Webseitenbetreiber personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme der Webseite zu ermöglichen und abzurechnen. Beim Wortlaut genommen, müssen danach IP-Adressen nach Ende des Zugriffs auf die Webseite umgehend gelöscht werden. Dies wäre aber nach Ansicht des EuGH nicht mit Art. 7 lit. f der Richtlinie 95/46 vereinbar. Danach können der Webseitenbetreiber nämlich durchaus ein überwiegendes Interesse an einer über den Nutzungszeitraum hinausgehenden Speicherung der IP-Adresse haben. Erforderlich, so der EuGH, sei stets eine Abwägung im Einzelfall.
Ausblick
Der EuGH hat die kontroverse Frage in Bezug auf dynamische IP-Adressen geklärt. Folgefragen ergeben sich in Hinblick auf das „berechtigte Interesse“ an der Speicherung personenbezogener Daten. Hier muss der BGH zunächst klären, inwieweit § 15 Abs. 1 TMG europarechtskonform ausgelegt werden kann. Sollte er dies verneinen, würde kaum ein Weg an einer Überarbeitung des TMG durch den Gesetzgeber nach den Vorgaben des EuGH vorbeiführen.
Datenschutz
IT & Outsourcing
Telekommunikation
Einkauf Logistik & Vertrieb
Share
Insights
