IP-Adressen als personenbezogene Daten

Der Fall

Der Kläger hatte mehrere allgemein zugängliche Websites von Einrichtungen des Bundes aufgerufen, wobei die dynamische IP-Adresse des zugreifenden Computers in Protokolldateien gespeichert wurden. Gegen diese Speicherung über das Ende des konkreten Zugriffs hinaus richtete sich die Klage vor einem deutschen Verwaltungsgericht, das die Klage in erster Instanz  abgewiesen hatte. Bei dynamischen Adressen ändert sich die Adresse bei jeder Internetverbindung, nur der Zugangsanbieter (Provider) ist in der Lage, die konkrete Adresse einer bestimmten Person zuzuordnen.

Der Kläger ging gegen das erstinstanzliche Urteil in Berufung. Dieses entschied, dass eine dynamische IP-Adresse nur insoweit ein personenbezogenes Datum sei, als der jeweilige Nutzer während des Zugriffs auch seine Personalien angegeben habe. Andernfalls könne lediglich der Internetzugangsanbieter die IP-Adresse einem bestimmten Anschlussinhaber zuordnen; für den jeweiligen Anbieter von Online-Mediendiensten dagegen sei der bestimmte Nutzer nicht über die IP-Adresse bestimmbar.

Der  Bundesgerichtshof hat das Verfahren ausgesetzt und sich mit zwei Vorlageverfahren an den EuGH bezüglich der Auslegung der Richtlinie (RL) 95/26 zum freien Datenverkehr gewandt:

  1. Stellen dynamische IP-Adressen auch für den Anbieter von Online-Mediendiensten personenbezogene Daten dar, obwohl nur der Internetzugangsanbieter als Dritter über die erforderlichen Zusatzinformationen verfügt, um den bestimmten Nutzer zu identifizieren.
  2. Steht Art. 7 f  der genannten Richtlinie § 15 TMG entgegen, wonach der Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

Die Entscheidung

  • Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
  • Art. 7 Buchst. f der Richtlinie 95/46 ist dahin auszulegen, dass er einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online- Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.

Konsequenzen

  • Der EuGH hat entschieden, dass eine dynamische IP-Adresse für den Anbieter von Online-Mediendiensten ein personenbezogenes Datum darstellt, wenn dieser über rechtliche Mittel verfügt, von dem Internetzugangsanbieter des betreffenden Nutzers die für dessen Identifizierung erforderlichen Zusatzinformationen zu erhalten. Dies ist in Deutschland mit Hilfe der Gerichte und Staatsanwaltschaften unter bestimmten Voraussetzungen möglich.
  • Der EuGH kommt zu dem Ergebis, dass auch die Bestimmbarkeit einer natürlichen Person ausreiche, um das Vorliegen personenbezogener Daten zu bejahen. Darunter falle auch eine lediglich indirekt identifizierbare Person. Grundsätzlich sei nicht erforderlich, dass sich alle zur Identifizierung erforderlichen Informationen in den Händen einer einzigen Person befinden, da alle Mittel berücksichtigt werden müssten, die vernünftigerweise eingesetzt werden können, um die betroffene Person zu bestimmen. Hierzu reichen die in Deutschland bestehenden Möglichkeiten nach Ansicht des EuGH aus.
  • Laut EuGH kann die Aufrechterhaltung der generellen Funktionsfähigkeit einer Website durchaus ein berechtigtes Interesse darstellen, welches gemäß Art. 7 Buchst. f der RL die Verarbeitung personenbezogener Daten auch ohne Einwilligung ermöglicht. Zumindest darf ein solcher Zweck nicht generell und kategorisch ausgeschlossen werden, ohne wenigstens Raum für eine Abwägung zwischen dem freien Datenverkehr und den Grundrechten und -freiheiten der betroffenen Person zu lassen. Insofern steht § 15 TMG der RL entgegen.
  • Die Antwort des EuGH auf die zweite Vorlagefrage bedeutet für § 15 TMG, dass diese Vorschrift richtlinienkonform auszulegen sein wird. Eine enge Auslegung der Vorschrift würde dagegen die Tragweite der in Art. 7 der RL abschließend aufgeführten sechs Grundsätze zur rechtmäßigen Verarbeitung personenbezogener Daten unzulässig einschränken. Das in Art. 7 Buchst. f der RL genannte „berechtigte Interesse“ ist nämlich weiter gefasst als der § 15 TMG, wonach die Verarbeitung personenbezogener Daten ohne Einwilligung des Nutzers nur gestattet ist, soweit dies für den konkreten Zugang zu den elektronischen Medien und die Abrechnung der Inanspruchnahme erforderlich ist. Der EuGH hat hier selbst die erforderliche Abwägung zwischen dem Interesse des Anbieters an der Aufrechterhaltung der generellen Funktionsfähigkeit seines Online-Mediendienstes einerseits und dem Schutz der Privatsphäre des Nutzers andererseits nicht vorgenommen. Dies wird künftig den nationalen Gerichten obliegen: Diese werden voraussichtlich die Protokollierung von IP-Adressen auch über den konkreten Zugriff hinaus ohne Einwilligung des Nutzers nicht mehr als schlicht unzulässig bewerten können. Stattdessen werden sie die Vorschrift voraussichtlich dahingehend richtlinienkonform auszulegen haben, als dass sie zumindest eine Abwägung vornehmen müssen, ob hier ein berechtigtes Interesse des jeweiligen Anbieters an der Speicherung der Daten besteht, beispielsweise, um „Denial-of-Service“-Cyberangriffe abzuwehren.
    (Mit freundlicher Unterstützung von Rechtsanwältin Philippa Eggers)

Das gesamte Urteil

Das vollständige Urteil des EuGH finden Sie hier.