Ob dynamische IP-Adressen personenbezogene Daten sind oder nicht muss jetzt der Europäische Gerichtshof (EuGH) klären. Der Bundesgerichtshof (BGH) legte ihm diese Frage zur Vorabentscheidung vor (Urteil v. 28.10.2014 – Az. VI ZR 135/13).
Unterlassung von Speicherung dynamischer IP-Adressen verlangt
Hintergrund der Vorlage zum EuGH ist eine Unterlassungsklage eines schleswig-holsteinischen Landtagsabgeordneten gegen die Bundesrepublik Deutschland. Diese speichert beim Besuch offizieller Homepages von Verwaltungsbehörden, Ministerien etc. die dynamische IP-Adresse des Besuchers über den eigentlichen Nutzungsvorgang hinaus. Begründet wird dies mit der Möglichkeit Angriffe abzuwehren und strafrechtlich relevante Handlungen verfolgen zu können. Der Kläger war in Vergangenheit mehrmaliger Besucher von Internetportalen des Bundes und verklagt den Bund nun auf Unterlassung der Speicherung von dynamischen IP-Adressen über den Nutzungsvorgang hinaus.
Amtsgericht wies die Klage ab, Landgericht gab dem Kläger teilweise Recht
Das zuständige Amtsgericht wies die Klage ab. Im Berufungsverfahren gab das Landgericht dem Kläger aber teilweise Recht. Es sah einen Unterlassungsanspruch des Klägers jedenfalls dann als begründet an, wenn die dynamische IP-Adresse zusammen mit dem Zeitpunkt des Nutzungsvorgangs gespeichert wird und der Betroffene während der Nutzung seine Personalien eingegeben hat. Beide Parteien haben die zugelassene Revision zum BGH eingelegt.
BGH will vom EuGH zwei Fragen klären lassen
Der BGH hat den Fall nun dem EuGH zur Vorabentscheidung vorgelegt und will zwei Fragen, hinsichtlich der EG-Datenschutz-Richtlinie, geklärt wissen.
Stellen dynamische IP-Adressen ein personenbezogenes Datum dar?
Für die Speicherung der dynamischen IP-Adressen bräuchte der Bund entweder eine gesetzliche Grundlage oder eine Einwilligung des Betroffenen, sofern es sich bei den dynamischen IP-Adressen um ein personenbezogenes Datum handeln sollte. Im vorliegenden Fall betrachtet der BGH dies als fraglich, da die speichernden Stellen keine Informationen besaßen, um den Betroffenen anhand der IP-Adresse ermitteln zu können. Ferner wäre der Internetanbieter des Klägers auch nicht befugt gewesen, die Daten des Klägers an die speichernde Stelle zu übermitteln. Insofern hätten sich die speichernden Stellen die Daten auch nicht rechtmäßig vom Internetanbieter des Klägers beschaffen können.
Aus diesem Grund will der BGH konkret wissen, „ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt“. Würde der EuGH dies bejahen, wäre jede dynamische IP-Adresse per se ein personenbezogenes Datum, auch wenn die erforderlichen Informationen nur im Besitz eines Dritten sind. Es käme nicht mehr darauf an, ob der Dritte die Informationen an die speichernde Stelle übermittelt. Dem müsste sich dann aber zwangsläufig die Frage anschließen, ob dynamische IP-Adressen auch dann noch ein personenbezogenes Datum darstellen, wenn der Dritte bspw. die für die Identifizierung notwendigen Informationen nicht (mehr) besitzt? Anhand der Fragestellung des BGH dürfte dies wohl zu verneinen sein, da der BGH die Frage vom Vorhandsein der benötigten Informationen im Besitz eines Dritten abhängig macht. Zudem wäre die speichernde Stelle theoretisch nicht mehr in der Lage, sich die notwendigen Informationen zu beschaffen.
Gebietet die EG-Datenschutz-Richtlinie eine weitergehende Auslegung des § 15 Abs. 1 TMG?
Für den Fall, dass von einem personenbezogenen Datum auszugehen sei, sieht der BGH die Auslegungsweite des § 15 Abs. 1 TMG (Telemediengesetz) auf dem Prüfstand. Ohne eine Einwilligung des Betroffenen dürften personenbezogene Daten vom Telemedienanbieter nur mit einer gesetzlichen Erlaubnis gespeichert werden (§ 12 Abs. 1 TMG). Eine solche Erlaubnis könnte der § 15 Abs. 1 TMG darstellen, der die Speicherung personenbezogener Daten zum Zwecke der Bereitstellung des Telemediendienstes und der Abrechnung erlaubt. Da der Bund aber vorgab die IP-Adressen aus Sicherheitsgründen zu speichern könnte es an einer gesetzlichen Erlaubnis fehlen.
Der BGH sieht es aber als möglich an, dass die EG-Datenschutz-Richtlinie eine weitergehende Auslegung erlaube. Der Art. 7 lit. f) der Richtlinie erlaubt nämlich die Verarbeitung personenbezogener Daten zum Zwecke der Verwirklichung eines berechtigten Interesses der verarbeitenden (in diesem Fall speichernden) Stelle – sofern ein Grundrecht oder eine Grundfreiheit des Betroffenen dieses berechtigte Interesse nicht überwiegt. Vorliegend ist also zu klären, ob § 15 Abs. 1 TMG den Anwendungsrahmen einer Datenverarbeitung durch Telemedienanbieter nicht unzulässig beschränke. Ferner müsse aber dann eine Abwägung getroffen werden, ob das vorgebrachte Sicherheitsinteresse des Telemedienanbieters (vorliegend der Bund) das Recht des Klägers auf informationelle Selbstbestimmung überwiegt.
Relativer oder absoluter Personenbezug?
Die datenschutzrechtlich schon lange stark umstrittene Frage hinter diesem Verfahren ist, ob Daten schon dann als personenbezogen anzusehen sind, wenn irgendwer auf der Welt (also nicht zwingend der Besitzer der Daten) die Daten auf eine bestimmte Person zurückführen kann (sog. absoluter Personenbezug). Oder aber der EuGH entscheidet, dass Daten dann nicht als personenbezogen angesehen werden können, wenn der jeweilige Besitzer keine Möglichkeit besitzt (oder nur unter unverhältnismäßig hohem Aufwand), die Daten auf einzelne Personen zurückzuführen. Die Auswirkungen auf die Anwendung der Datenschutzgesetze in Europa wären im Hinblick auf Datenmengen wie z.B. IP-Adressen oder pseudonymisierte Daten von Patienten in klinischen Studien enorm. – Es bleibt zu hoffen, dass ein Urteil in dieser Sache auch eine Diskussion um den Personenbezug als Kriterium für die Anwendung von Datenschutzgesetzen in Gang bringt. Eine grundlegende Änderung hierzu in der anstehenden Datenschutz-Grundverordnung wäre wünschenswert.
Welche Relevanz hat das Urteil für Telemedienanbieter?
Anbieter von Telemedien sollten den Fall genau verfolgen, denn hier werden zwei wichtige Fragen geklärt:
Erstens die Frage, ob dynamische IP-Adressen ein personenbezogenes Datum darstellen. Auch in der juristischen Fachwelt ist die Frage sehr umstritten (vgl. Dammann in Simitis: BDSG, 8. Aufl., § 3 Rn. 63). Bejaht der EuGH grundsätzlich die Personenbezogenheit dynamischer IP-Adressen dürfte auch diese, nach der aktuellen Rechtslage, nur noch zum Zwecke der Bereitstellung und Abrechnung verarbeitet werden, außer der Gesetzgeber würde neue gesetzliche Grundlagen schaffen.
Beachtenswert ist auch die Antwort auf die Frage nach der Auslegungsweite des § 15 Abs. 1 TMG. Würde dieser die Bestimmung der EG-Datenschutz-Richtlinie zu eng fassen, dürften personenbezogene Daten (je nach Entscheidung des EuGH also eventuell auch dynamische IP-Adressen) aus mehr Gründen gespeichert werden, als es jetzt der Fall ist.
In jedem Fall wird es sich hierbei um eine richtungsweisende Entscheidung des EuGH handeln.
Das Urteil des AG Tiergarten finden Sie unter dem Az. 2 C 6/08, das des LG Berlin unter dem Az. 57 S 87/08.