Kanzlei Mitarbeiter Kontakt Impressum Datenschutz

Personenbezug von IP-Adressen

10.11.2016 | Datenschutz und IT-Sicherheit | Urteile | von Markus Schmidt

In einer zwischenzeitlich auch in der Öffentlichkeit viel beachteten Entscheidung hat sich der Europäische Gerichtshof im Rahmen eines Vorlageverfahrens durch den Bundesgerichtshof zur Frage des Personenbezugs von dynamischen IP-Adressen und der Zulässigkeit der Speicherung von IP-Adressen der auf Webseiten zugreifenden Systeme durch den Webseiten-Betreiber geäußert (Urteil v. 19.10.2016, C-582/14).

 

Konkret lauteten die Vorlagefragen des BGH:

 

1.      Ist. Art. 2 Buchst. a der Richtlinie 95/46/EG dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang  mit dem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

2.      Steht Art. 7 Buchst. f der Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts entgegen, wonach der Diensteanbieter personenbezogene Daten des Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann?

 

Was der EuGH eindeutig entscheiden hat:

 

Relativer oder absoluter Bestimmbarkeitsbegriff

Bislang war in der Literatur und der allgemeinen datenschutzrechtlichen Diskussion in Deutschland stark umstritten, ob für die Frage der Personenbestimmbarkeit auf eine relative Bestimmbarkeit, d.h. Bestimmbarkeit für den konkreten Dateninhaber/-verarbeiter oder absolute Bestimmbarkeit, d.h. Bestimmbarkeit für irgendeinen Dritten abzustellen sei.

 

Hierzu hat der EuGH eindeutig auf die relative Bestimmbarkeit abgestellt. So führt der EuGH unter Rz. 46 des Urteils in Übereinstimmung mit der Stellungnahme des Generalanwalts aus, dass eine Bestimmbarkeit dann nicht vorliegt, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder Praktisch nicht durchführbar ist. Als Beispiele für eine praktische Unmöglichkeit nennt der EuGH explizit einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften, so dass das Risiko einer Identifizierung de facto vernachlässigbar erscheint. Aus Sicht des EuGH kommt es für eine Bestimmbarkeit daher auf die konkreten und damit relativen Umstände des Einzelfalles und nicht auf eine generelle und damit abstrakte Identifizierungsmöglichkeit an.

 

Keine Relevanz rechtswidriger Bestimmungsmöglichkeiten

 

Mit der oben aufgeführten Begründung hat der EuGH weiter erklärt, dass bei der Beurteilung der Bestimmbarkeit nur legale Möglichkeiten zu berücksichtigen sind. Insbesondere im Rahmen der behördlichen Datenverarbeitung muss bei der Frage der Bestimmbarkeit deshalb davon ausgegangen werden, dass sich die Behörden rechtskonform verhalten. Die Annahme einer Bestimmungsmöglichkeit mit Hilfe eines Rechtsverstoßes ist rechtlich nicht möglich.

 

Kein generelles Verbot der Verarbeitung von personenbezogenen Daten des Nutzers durch Telemedien-Anbieter

 

Zur zweiten Vorlagefrage, die sich auf die Europarechtskonformität des § 15 Abs. 1 TMG bezieht, hat der EuGH entschieden, dass die deutsche Regelung des § 15 Abs. 1 TMG nicht in Einklang mit Art. 7 Buchst. f der Richtlinie 95/46/EG steht und damit gegen europäisches Recht verstößt.

 

Der EuGH führt dazu in Rz. 62 des Urteils aus, dass die Richtlinie in Art. 7 Buchst. f generell eine Interessenabwägung verlangt. Jeglicher kategorischer Ausschluss einer Verarbeitungsmöglichkeit ohne eine entsprechende Interessenabwägung im Einzelfall, wie ihn § 15 Abs. 1 TMG mit der Beschränkung auf wenige enge Verarbeitungszwecke darstellt, widerspricht damit den europäischen Vorgaben.

 

Im Ergebnis ist damit § 15 Abs. 1 TMG nicht in seiner strengen Wortfassung anzuwenden, sondern in europarechtskonformer Anwendung dahingehend auszulegen, dass auch eine Verarbeitung zu anderen als den in § 15 Abs. 1 TMG genannten Zwecken zulässig ist, wenn die Interessen des Verarbeiters (in der Regel also des Telemediendiensteanbieters) die Schutzinteressen des betroffenen Nutzers überwiegen.

 

Im Ergebnis verlangt daher der EuGH eine Interessenabwägung im Einzelfall. Dabei ist  insbesondere auch das Interesse des Telemediendiensteanbieters, die generelle Funktionsfähigkeit seiner Telemediendienste zu gewährleisten, zu berücksichtigen.

 

Was der EuGH nicht entschieden hat:

 

Entgegen vieler Stellungnahmen zu dieser Entscheidung des EuGH ist dem Urteil gerade nicht abschließend zu entnehmen, ob nunmehr IP-Adressen für einen Telemediendiensteanbieter in Deutschland bestimmbar und damit personenbezogen sind. Der EuGH hat hier zwar eine entsprechende Vermutung geäußert, die letztendliche Entscheidung dazu aber in die Hände des BGH gelegt (?vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden Prüfungen?; Rz. 47 des Urteils).

 

Der EuGH hat auch nicht darüber entschieden, ob eine Telemediendiensteanbieter die von ihm im Zuge des Nutzungsvorgangs erhobenen Daten, insbesondere die IP-Adresse über den Nutzungsvorgang hinaus generell speichern darf oder nicht. Diese Frage ist vielmehr für jeden Einzelfall im Rahmen einer Interessenabwägung zu entscheiden.

 

Ergebnis:

 

Der EuGH hat mit seiner Entscheidung zwar einige grundsätzliche Rechtsfragen beantwortet, die generelle Frage, ob Telemediendiensteanbieter die IP-Adressen der Nutzer speichern dürfen, bleibt zunächst aber weiter offen und ist letztendlich vom BGH zu klären. Ob der BGH diese Entscheidung nunmehr unmittelbar vornehmen oder zur ergänzenden Tatsachenfeststellung an die Vorinstanz zurückverweisen wird, bleibt abzuwarten. Auf Basis der EuGH-Entscheidung ist allerdings bereits absehbar, dass eine Entscheidung des BGH wohl als Einzelfallentscheidung und nicht als Grundsatzentscheidung zu dieser Frage angesehen werden muss, da der EuGH in jedem Fall eine notwendigerweise einzelfallbezogene Interessenabwägung verlangt. 

29.03.2024

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger,
BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck