Urteil des EuGH vom 19.10.2016, AZ: C-582/14

Der EuGH hat für Recht erkannt:

1. Dynamische IP-Adressen sind personenbezogene Daten.

Entsprechend Art. 2 lit. a Datenschutz-Richtlinie (Datenschutz-RL) stellt eine dynamische Internetprotokoll-Adresse (IP-Adresse) des Nutzers eines Online-Mediendienstes, die bei dem Besuch einer allgemein zugänglichen Website des Online-Mediendiensteanbieters von dem Mediendiensteanbieter gespeichert wird, für diesen ein personenbezogenes Datum dar, auch wenn er nur mithilfe von Zusatzinformationen eines Dritten (Internetzugangsanbieter) die dahinterstehende Person bestimmen kann.

2. § 15 TMG steht im Widerspruch zu Art. 7 lit. f Datenschutz-RL.

Gemäß § 15 Telemediengesetz (TMG) ist die Erhebung und Verwendung von personenbezogenen Daten durch den Diensteanbieter nur zulässig, wenn dies für die Inanspruchnahme und die Abrechnung der Telemedien erforderlich ist. Art. 7 lit. f Datenschutz-RL lässt dagegen eine Speicherung zu, wenn diese für das berechtigte Interesse des Telemedienbetreibers erforderlich ist und im Rahmen einer Interessenabwägung nicht die Interessen des Nutzers (Grundrechte und Grundfreiheiten gem. Art. 1 Datenschutz-RL) überwiegen. § 15 TMG sieht eine derartige Interessenabwägung nicht vor und steht damit im Widerspruch zu Art. 7 lit. f Datenschutz-RL.

 

Zum Sachverhalt – kurz zusammengefasst:

Der Kläger klagte gegen die Bundesrepublik Deutschland (BRD) auf Unterlassung, da die beklagte BRD auf ihren Internetseiten die IP-Adressen der Besucher speicherte. Die IP-Adressen werden über das Ende des Nutzungsvorgangs hinaus gespeichert, um Cyber-Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Zunächst klagte der Kläger vor dem Amtsgericht (AG) Berlin-Tiergarten[1], das seine Klage abwies. Das Landgericht (LG) Berlin[2] änderte das erstinstanzliche Urteil zum Teil ab und verurteilte die Beklagte auf (teilweise) Unterlassung der Speicherung der IP-Adressen. Beide Parteien legten Revision ein, so dass sich der Bundesgerichtshof (BGH) dem Rechtsstreit annahm. Zur Klärung setzte der BGH die Verhandlung aus und legte dem Europäischen Gerichtshof (EuGH) Auslegungsfragen zu den relevanten unionsrechtlichen Vorschriften vor (sogenannte Vorabentscheidung entsprechend Art. 267 Vertrag über die Arbeitsweise der Europäischen Union)[3].

 

1          Hintergrund der Vorabentscheidung des EuGH

Das Datenschutzrecht findet nur Anwendung, wenn personenbezogene Daten vorliegen. Im vorliegenden Fall geht es um die Frage des Personenbezugs von dynamischen IP-Adressen, wenn zur Identifizierung der dahinterstehenden natürlichen Person das Zusatzwissen von Dritten erforderlich ist. Auf nationaler Ebene werden personenbezogene Daten durch § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) definiert. Da das BDSG die europäische Datenschutz-RL in nationales Recht umsetzt, ist zur Auslegung der Vorschriften des BDSG die Datenschutz-RL heranzuziehen. Daneben regelt das TMG den Umgang mit elektronischen Informations- und Kommunikationsdiensten (Telemedien) und enthält in § 15 TMG entsprechende Erlaubnistatbestände für eine rechtmäßige Datenerhebung, -verarbeitung und -speicherung. Die Vorgaben des TMG müssen dabei ebenfalls europarechtskonform ausgestaltet sein. Zur Auslegung der nationalen Vorschriften sind somit die Regelungen auf europäischer Ebene zu betrachten, da hier kein Widerspruch bestehen darf. Daher sind die Regelungen der Datenschutz-RL von Interesse und dem EuGH wurden die Fragen zur Auslegung der europäischen Vorschriften vorgelegt.

Konkret hat der BGH die folgenden zwei Fragen zur europarechtskonformen Auslegung an den EuGH gerichtet:

(1) Zum einen, ob die IP-Adressen, die ein Diensteanbieter bei Besuch seiner Internetseite speichert, personenbezogene Daten (entsprechend der Definition aus Art. 2 lit. a Datenschutz-RL) sind, wenn nicht er selbst, aber ein Dritter (im vorliegenden Fall der Zugangsanbieter) über das zur Identifizierung der natürlichen Person hinter der IP-Adresse notwendige Wissen verfügt.

(2) Zum anderen war zu klären, ob Art. 7 lit. f Datenschutz-RL der nationalen Vorschrift aus § 15 TMG entgegensteht. § 15 Abs. 1 TMG besagt, dass der Diensteanbieter personenbezogene Daten ohne die Einwilligung des Nutzers nur verwenden oder erheben darf, wenn dies für die Inanspruchnahme und Abrechnung des Telemediums erforderlich ist, jedoch darüber hinaus keine Rechtfertigung der Datenverwendung nach Ende des Nutzungsvorgangs vorsieht.

Der vorliegende Fall betrachtet dynamische IP-Adressen. IP-Adressen werden von den Gerichten als Ziffernfolgen definiert, die Computern, welche mit dem Internet verbunden sind, zugewiesen werden, um die Kommunikation zu ermöglichen. Wird eine Webseite aufgerufen, so wird die IP-Adresse des Computers an den Server übermittelt, auf dem die Webseite abgespeichert ist. Eine statische IP-Adresse lässt mit allgemein zugänglichen Dateien eine Verbindung zwischen den Computer und dem physischen Netzzugang des Internetzugangsanbieters herstellen. Sie bleibt bei jedem erneuten Internetzugang unverändert und lässt so eine dauerhafte Identifizierung zu. Eine dynamische IP-Adresse ist hingegen nur eine vorübergehende Adresse, die bei jeder einzelnen Internetnutzung zugewiesen wird und sich so bei einer neuen Internetnutzung ändert.

 

2          Beurteilung des EuGH

Der EuGH hat mit seinem Urteil vom 19. Oktober 2016[4] folgendes für Recht erkannt:

2.1     Dynamische IP-Adressen sind personenbezogene Daten

Dynamische IP-Adressen stellen personenbezogene Daten dar, auch wenn sich nur mithilfe von Zusatzinformationen eines Dritten die dahinterstehende Person bestimmen lässt.

Eine dynamische IP-Adresse lässt zunächst keine unmittelbare Identifizierung einer natürlichen Person zu und stellt somit zunächst kein personenbezogenes Datum dar. Liegt aber Zusatzwissen eines Dritten vor (beispielsweise des Access-Providers), über welches (mit rechtlichen Mitteln) Kenntnis erlangt werden könnte, so dass letztlich die Identifizierung der hinter der dynamischen IP-Adresse stehenden Person möglich ist, so liegt ein personenbezogenes Datum entsprechend Art. 2 lit. a Datenschutz-RL vor.

2.2     § 15 Abs. 1 TMG steht Art. 7 lit. f Datenschutz-RL entgegen

§ 15 TMG erlaubt die Erhebung und Verwendung von personenbezogenen Daten durch den Diensteanbieter nur, wenn dies für die Inanspruchnahme und die Abrechnung der Telemedien erforderlich ist und sieht keine Abwägung der berechtigten Interessen des Telemedienbetreibers und des Nutzers entsprechend Art. 7 lit. f Datenschutz-RL vor, so dass hierin ein Widerspruch liegt.

Da § 15 Abs. 1 TMG im Gegensatz zu Art. 7 lit. f Datenschutz-RL keine Interessenabwägung vorsieht, ist § 15 Abs. 1 TMG zu eng gefasst und wurde bisher zu restriktiv ausgelegt. Die nationale Ausgestaltung der Rechtfertigung zur Verarbeitung von personenbezogenen Daten bedarf entsprechend Art. 7 lit. f Datenschutz-RL einer Abwägung der gegenüberstehenden Interessen.

 

3          Auswirkungen des Urteils auf die Rechtspraxis

Mit dem Urteil des EuGH besteht nun Klarheit darüber, dass eine dynamische IP-Adresse gegenüber dem Datenverwender ein personenbezogenes Datum darstellt, auch wenn dieser nur mit Zusatzinformationen die hinter der IP-Adresse stehende natürliche Person identifizieren kann. Der EuGH lehnt die Qualifizierung der IP-Adresse als personenbezogenes Datum nur ab, sofern die Übermittlung der notwendigen Zusatzinformationen des Dritten praktisch unmöglich ist oder der Übermittlung ein gesetzliches Verbot gegenübersteht. Es ist anzunehmen, dass diese Ansicht mit der Geltung der Datenschutzgrundverordnung (DSGVO) zum 25. Mai 2018 nicht weniger Bedeutung erhalten wird, da die Definition der personenbezogenen Daten aus Art. 4 Nr. 1 DSGVO im Wesentlichen der aus Art. 2 lit. a Datenschutz-RL entspricht und Art. 4 Nr. 1 DSGVO zudem relativ weit gefasst ist, so dass generell ein Personenbezug von IP-Adressen angenommen werden könnte.

Zu der zweiten Vorlagefrage ist festzuhalten, dass die Verarbeitung von personenbezogenen Daten entsprechend dem EuGH zulässig ist, sofern für den Webseitenbetreiber ein berechtigtes Interesse zur Datenverarbeitung besteht (und zwar unabhängig davon, ob dies für die Erbringung des Telemediendienstes erforderlich ist). Zur europarechtskonformen Auslegung müsste § 15 TMG weit ausgelegt und in dessen Rahmen eine Interessenabwägung vorgenommen werden. Vorausschauend ist darauf hinzuweisen, dass die künftige DSGVO mit Art. 6 Abs. 1 lit. f DSGVO eine dem Art. 7 lit. f Datenschutz-RL entsprechende Vorschrift enthält, die sodann zum 25. Mai 2018 auf nationaler Ebene zur Anwendung kommt und damit § 15 TMG ablösen wird. Ob aber die Abwägung der Interessen der Beteiligten im Rahmen einer zulässigen Datenverarbeitung (entsprechend der EuGH-Entscheidung und der DSGVO) der Rechtssicherheit dient, darf bezweifelt werden.

 

Für ausführliche Informationen siehe: Gesmann-Nuissl, Rechtsprechungsreport, InTeR 2017, S. 37 – 41.

 

 

Autorin: Kathrin Nitsche | April 2017

 

___________________________________________________________________

Quellen:                                                

[1] AG Berlin-Tiergarten, Urteil vom 13.08.2008, AZ: 2 C 6/08.

[2] LG Berlin, Urteil vom 31.01.2013, AZ: 57 S 87/08.

[3] Beschluss des Bundesgerichtshofs vom 28. Oktober 2014, AZ: VI ZR 135/13

[4] Urteil des Europäischen Gerichthofs vom 19. Oktober 2016, AZ: C-582/14.