Der Generalanwalt am EuGH Manuel Campos Sánchez-Bordona hat seine Stellungnahme im Verfahren um den Personenbezug dynamischer IP-Adressen abgegeben. Die Frage ob ein sog. absoluter oder relativer Personenbezug vorliegt wird nicht abschließend beantwortet.
Datenschutz bei IP-Adressen: Streitpunkt Personenbezug
Aus datenschutzrechtlicher Sicht sind dynamische IP-Adressen seit langem ein Streitthema. Eine der hauptsächlichen Fragen ist die nach der Natur des Personenbezuges. In Deutschland gibt es dazu zwei Theorien: die des absoluten Personenbezuges und die des relativen Personenbezuges.
Erstere Vertritt die Auffassung, dass eine IP-Adresse immer ein personenbezogenes Datum im Sinne des Art. 2 der Richtlinie 95/46 ist. Grund hierfür ist, dass theoretisch zu jedem Zeitpunkt die IP-Adresse mit weiteren Informationen – bspw. besuchten Websites, Internetanschlüssen – dergestalt zusammengeführt werden kann, dass die konkrete Person hinter der IP-Adresse identifiziert werden könne.
Dem entgegnen die Anhänger des relativen Personenbezugs, dass erst dann ein personenbezogenes Datum im Sinne des Art. 2 der Richtlinie 95/46 vorliegt, wenn die IP-Adresse mit den Daten Dritter – bspw. des Anschlussanbieters – zusammengeführt werden.
Stellungnahme schafft keine abschließende Klarheit
Entgegen mancher Meldungen schafft die Stellungnahme des Generalanwalts keine abschließende Klarheit. Zwar melden einige Portale, dass der Generalanwalt sich für den absoluten Personenbezug entschieden habe, wiederum andere vermelden die Feststellung des relativen Personenbezugs. Richtig ist aber, dass der Generalanwalt nur eine spezielle Möglichkeit bzw. Konstellation bewertet hat und nicht die Frage im Allgemeinen.
Der Generalanwalt weist in seiner Stellungnahme explizit darauf hin, dass es ausschließlich um die Frage geht, ob „eine dynamische IP-Adresse für den Anbieter eines Internetdienstes ein personenbezogenes Datum ist, wenn die Telekommunikationsgesellschaft, die den Internetzugang anbietet (der Zugangsanbieter) zusätzliche Daten in Händen hat, die in Verbindung mit der fraglichen IP-Adresse die Identifizierung der Person ermöglichen, die die vom Diensteanbieter betriebene Internetseite aufruft“? Folglich beantwortet der Generalanwalt nur die Frage für den Fall, dass der mögliche Dritte der Anbieter des Internetzugangs ist. Wer also bereits an dieser Stelle auf eine abschließende Beantwortung der Frage gehofft hat, wird enttäuscht werden. Der Generalanwalt beantwortet die Frage nicht abschließend.
Die Bewertung des Generalanwalts
Der Generalanwalt geht in seiner Stellungnahme auf zwei Fragen ein. Zum einen auf die Frage nach dem Personenbezug der dynamischen IP-Adressen, zum anderen auf die Frage ob Art. 7 Buchst. f (berechtigtes Interesse der Datenverarbeitung gegeben, sofern Interesse oder Grundrechte des Betroffenen nicht überwiegen) der Richtlinie 95/46 dem § 15 TMG entgegensteht, der eine Erhebung und Verwendung personenbezogener Daten nur zu Abrechnungszwecken gestattet.
Personenbezug dynamischer IP-Adressen
Der Generalanwalt stützt sich – so wie die klagende und die beklagte Partei – auf den 26. Erwägungsgrund der Richtlinie. Im Sinne dieses Erwägungsgrundes ist der Internetzugangsanbieter der typische Dritte, an welchen sich der Internetdienstanbieter wendet bzw. wenden muss, um sich zusätzliche Daten für eine Identifizierung eines Internetnutzers zu beschaffen. Voraussetzung ist aber, dass die Daten durch den Internetzugangsanbieter nach den gesetzlichen Vorgaben zugänglich gemacht werden. Nur so sei eine Datenverarbeitung, wie sie die Richtlinie verlangt, „vernünftig“.
Der Generalanwalt kommt sodann zu dem Ergebnis, dass dynamische IP-Adressen für den Internetdienstanbieter ein personenbezogenes Datum darstellt. Denn der Internetzugangsanbieter kann, wiederum im Rahmen der Gesetze, den Zugang zu den Daten verweigern aber eben auch gestatten. Alleine die bloße Existenz dieses Dritten mache den Personenbezug absolut. Die gegenteilige Annahme – ein Personenbezug sei erst im Moment der Datenzusammenführung anzunehmen – würde die Ausführungen des Generalanwalts nur bestätigen, wonach eine Klassifizierung als personenbezogene Daten aus Schutzgründen notwendig sei. Denn wenn der Personenbezug nur im Moment des Zusammenführens durch zusätzliche Daten des Dritten entstehen würde, also relativ wäre, könnte der Internetdienstanbieter die Daten speichern, da sie eben nicht als personenbezogene Daten anzusehen sind. Ein möglicher Personenbezug entstünde eben erst bei Zusammenführung der Daten, über den der Internetdienstanbieter entscheiden kann, da er den Dritten nach den fehlenden Daten fragen muss.
Sein erstes Ergebnis formuliert der Generalanwalt so: „[…]eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen ein personenbezogenes Datum darstellt, soweit ein Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt“.
Entgegenstehen des § 15 TMG gegenüber der Richtlinie
Mit der zweiten Vorlagefrage möchte der deutsche Bundesgerichtshof wissen, ob die Maßgabe des § 15 Abs. 1 TMG – der eine Erhebung und Verwendung von personenbezogenen Daten des Internetnutzers ohne dessen Einwilligung nur zu Bereitstellungs- und Abrechnungszwecken gestattet – der Richtlinie entgegensteht und eine solche Erhebung und Verwendung auch zum Schutz der Funktionsfähigkeit des Telemediums erlaubt ist.
Der Generalanwalt kommt zu dem Ergebnis, dass der geltende § 15 TMG restriktiver als die Richtlinie und damit als das Unionsrecht sei. Der Grund hierfür ist, dass gem. § 15 TMG die Verarbeitung von Nutzungsdaten eines Telemediums nur zu Abrechnungszwecken erlaubt ist, die Richtlinie aber noch weitere Erlaubnistatbestände vorsieht. Folglich stehe das deutsche Recht dem Unionsrecht entgegen, Gerichte hätten die entsprechende Vorschrift unionsrechtlich auszulegen und weitere Gründe zur Verarbeitung der Daten zuzulassen.